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Managementuittreksel 


Titei  Evaluatie  KL  informatiebeveiligingsmethodieken  in  relatie  tot  het 

Voorschrift  Informatiebeveiliging  Rijksdienst  (VIR) 

Auteur(s)  Ing.  P.J.A..  Vcrhaar 

Datum  april  1997 

Opdrachtnr.  :  A94KL646 

IWP-nr.  :  761.3 

Rapportnr.  FEL-97-A066 


Sinds  enige  tijd  is  het  ‘Voorschrift  Informatiebeveiliging  Rijksdienst’  (VIR)  van 
kracht  voor  alle  overheidsorganisaties.  Door  de  Beveiligings  Autoriteit  (BA)  van 
het  Ministerie  van  Defensie  is  het  ‘Beleidsdocument  Informatiebeveiliging’  opge- 
steld.  Dit  document  is  opgesteld  naar  aanleiding  van  het  VIR  en  is  voor  de  gehele 
Defensie  organisatie  van  kracht  verklaard.  Dit  houdt  in  dat  de  Koninklijke  Land- 
macht  (KL)  verplicht  is  een  informatiebeveiligingsbeleid  te  voeren  dat  minimaal 
voldoet  aan  het  VIR.  De  werkzaamheden  die  binnen  het  VIR  worden  beschreven 
hebben  tot  doel  het  opstellen  van  een  Informatie  Beveiligings  Plan  (IBP)  voor  elk 
informatiesysteem  en/of  verantwoordelijkheidsgebied  binnen  een  organisatie.  In 
dit  IBP  worden  o.a.  alle  te  treffen  en/of  getroffen  maatregelen  beschreven  of  er 
wordt  verwezen  naar  de  plaats  waar  deze  maatregelen  zijn  beschreven. 

Binnen  de  Koninklijke  Landmacht  (KL)  zijn  methodieken  ontwikkeld  die  even- 
eens  tot  doel  hebben  om  te  komen  tot  een  Informatie  Beveiligings  Plan  (IBP).  Een 
van  deze  methodieken  is  de  ‘Handleiding  voor  het  uitvoeren  van  het  InformatieBe- 
veiligings  Proces’  (HIBP).  De  HIBP  is  ontwikkeld  door  de  sectie  Commandovoe- 
ring  en  Informatie  Voorziening  van  de  afdeling  Beleids  Ontwikkeling  van  de 
LAndmachtStaf  (LAS/BO/CIV)  voorheen  Directie  Operation  (DOKL/CIV). 

Een  andere  methode  is  de  ‘KL-methodiek  Integrale  VeiligheidsZorg  management 
(rVZ-management).  De  KL-methodiek  IVZ-management  is  ontwikkeld  door  de 
Project-Organisatie  Bewakingssysteem  KL  98  van  het  NATionaal  COmmando 
(NATCO/PO  BKL  98).  Deze  methodiek  heeft  echter  een  breder  doel  dan  de  HIBP, 
namelijk:  het  uitvoeren  van  alle  management  activiteiten  op  het  gebied  van  bewa- 
king  en  beveiliging. 

LAS/BO/CIV  heeft  TNO-FEL  verzocht  de  twee  ontwikkelde  methodieken  te 
toetsen  aan  het  beleidskader  dat  wordt  geschetst  in  het  ‘Beleidsdocument  Informa¬ 
tiebeveiliging’  van  de  BA.  Dit  beleidsdocument  is  opgesteld  naar  aanleiding  van 
het  VIR.  De  KL-methodiek  IVZ-management  is  getoetst  voor  dat  deel  dat  betrek- 
king  heeft  op  informatiebeveiliging.  In  eerste  instantie  is  onderzocht  of  de  werk¬ 
zaamheden  die  in  het  VIR  zijn  beschreven  zijn  temg  te  vinden  in  de  KL- 
methodieken.  Hierbij  is  gekeken  naar  overeenkomsten  en  verschillen  in  de  metho¬ 
dieken.  Naast  een  onderzoek  naar  tekortkomingen  van  de  KL-methodieken  is  ook 
gekeken  naar  de  efficientie  van  deze  methodieken. 
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Daamaast  is  een  onderzoek  uitgevoerd  naar  de  toepasbaarheid  van  de  in  de  HIBP 

opgenomen  processen  voor  het  bepalen  van  de  feitelijke/vereiste  beschikbaarheid, 

integriteit  en  vertrouwelijkheid. 

Het  onderzoek  heeft  tot  de  volgende  conclusies  geleid: 

•  het  VIR  is  geschreven  op  een  hoog  abstractieniveau.  De  HIBP  en  de  KL- 
methodiek  IVZ  management  zijn  praktisch  ingesteld; 

•  voor  alle  methoden  geldt  dat  de  verantwoordelijkheid  voor  het  uitvoeren  van  de 
activiteiten  binnen  deze  methoden  ligt  bij  het  (lijn)management, 

•  het  VIR  en  de  HIBP  beperken  zich  beiden  tot  informatiebeveiliging.  De  KL- 
methodiek  IVZ-management,  daarentegen,  is  een  methodiek  die  de  werkzaam- 
heden  beschrijft  om  te  komen  tot  een  adequate  beveiliging,  in  de  breedste  zin 
van  het  woord,  van  een  KL  object,  lokatie,  eenheid  of  afdeling; 

•  het  VIR  en  de  HIBP  hebben  het  opstellen  van  een  Informatie  Beveiligings  Plan 
(IBP)  tot  doel.  De  KL-methodiek  IVZ-management  heeft  tot  doel  dat  een  bun- 
deling  van  plannen  wordt  opgesteld.  Een  van  die  plannen  binnen  deze  bunde- 
ling  is  een  IBP; 

•  uit  de  KL-methodiek  IVZ-management  kan  worden  opgemaakt  dat  de  invulling 
van  een  IBP  kan  (dient  te)  worden  uitgevoerd  conform  de  HIBP  of  de  MP  10-10 
deel  6; 

•  het  VIR  en  de  HIBP  gebruiken  verschillende  benamingen  voor  dezelfde  begrip- 
pen; 

•  het  VIR  geeft  aan  dat  op  beleidsniveau  de  informatiebeveiligingsaspecten 
geclassificeerd  dienen  te  worden,  maar  geeft  zelf  geen  classificering  aan.  Bin¬ 
nen  de  HIBP  en  de  KL-methodiek  IVZ-management  worden  de  informatiebe¬ 
veiligingsaspecten  wel  geclassificeerd; 

•  met  behulp  van  de  subprocessen  1  t/m  5  van  de  HIBP  kan  een  afhankelijkheids- 
analyse,  zoals  deze  beschreven  staat  in  het  VIR,  worden  uitgevoerd.  Hierbij 
dient  opgemerkt  te  worden  dat  voor  het  bepalen  van  de  maximaal  toelaatbare 
schade  en  de  mogelijke  schade  subproces  4  van  de  HIBP  aangevuld  kan  worden 
met  de  waarde-incident  methode  en  de  INCI-DETAR  methode  van  de  KL- 
methodiek  IVZ-management  en  de  MP  10-10  deel  6; 

•  het  identificeren  en  analyseren  van  bedreigingen  kan  worden  bereikt  door 
subproces  8  van  de  HIBP  uit  te  voeren.  De  naam  van  dit  subproces  Uitvoeren 
kwetsbaarheidsanalyse’  geeft  verwarring  met  de  kwetsbaarheidsanalyse  volgens 
het  VIR,  waarin  andere  werkzaamheden  worden  beschreven; 

•  met  de  subprocessen  6,  7,  9  en  10  van  de  HIBP  is  het  mogelijk  een  kwetsbaar¬ 
heidsanalyse  volgens  het  VIR  uit  te  voeren; 

•  voor  het  opstellen  van  een  Informatie  Beveiligings  Plan  (IBP)  kan  worden 
voldaan  door  de  subprocessen  11  en  12  van  de  HIBP  uit  te  voeren; 

•  door  een  herindeling  van  de  subprocessen  uit  te  voeren  zal  de  HIBP  beter 
passen  binnen  de  richtlijnen  van  het  VIR.  Bij  het  herindelen  van  de  subproces¬ 
sen  van  de  HIBP  zal  tevens  onderzocht  moeten  worden  of  een  uitvoeringsvolg- 
orde  van  de  heringedeelde  subprocessen  van  toepassing  is; 


•  de  processen  voor  het  bepalen  van  de  feitelijke/vereiste  beschikbaarheid,  inte- 
griteit  en  vertrouwelijkheid  dienen  vereenvoudigd  te  worden  door  het  aanbren- 
gen  van  wijzigingen. 

Het  rapport  sluit  af  met  de  volgende  aanbevelingen: 

•  om  in  de  toekomst  verwarringen  te  voorkomen  wordt  aanbevolen  de  begrippen 
in  de  HIBP  te  benoemen  conform  het  VIR; 

•  pas  de  indeling  van  de  huidige  subprocessen  van  de  HIBP  als  volgt  aan: 

-  wijzig  de  naam  van  subproces  8  van  de  HIBP  (Uitvoeren  kwetsbaarheids- 
analyse)  in  bijvoorbeeld  ‘Uitvoeren  dreigingenanalyse’; 

voeg  de  subprocessen  6,  7,  9  en  10  samen  tot  een  subproces  en  noem  dit 
nieuwe  subproces  ‘uitvoeren  kwetsbaarheidsanalyse, 

-  pas  subproces  1 1  aan  door  alleen  de  opsomming  van  maatregelen  of  een 
verwijzing  naar  de  documenten  waar  deze  maatregelen  staan  vermeld  op  te 
nemen  in  het  IBP; 

•  voor  vereenvoudiging  van  de  processen  voor  het  bepalen  van  de  feitelij¬ 
ke/vereiste  beschikbaarheid,  integriteit  en  vertrouwelijkheid  wordt  aanbevolen 
deze  processen  te  modificeren  door  middel  van  de  in  het  rapport  aangegeven 
wijzigingen. 
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Samenvatting 


Door  de  Beveiligings  Autoriteit  (BA)  van  het  Ministerie  van  Defensie  is  het 
‘Beleidsdocument  Informatiebeveiliging’  opgesteld.  Dit  document  is  opgesteld 
naar  aanleiding  van  het  Voorschrift  Informatiebeveiliging  Rijksdienst  (VIR)  en  is 
voor  de  gehele  Defensie  organisatie  van  kracht  verklaard.  LAS/BO/CIV  heeft 
TNO-FEL  verzocht  twee  KL-beveiligings  methodieken  te  toetsen  aan  het  beleids- 
kader  dat  wordt  geschetst  in  dit  beleidsdocument.  Het  betreft  de  methodieken:  de 
‘Handleiding  voor  het  uitvoeren  van  het  InformatieBeveiligings  Proces’  (HIBP) 
opgesteld  door  de  sectie  Commandovoering  en  Informatie  Voorziening  van  de 
afdeling  Beleids  Ontwikkeling  van  de  LAndmachtStaf  (LAS/BO/CIV)  voorheen 
Directie  Operation  (DOKL/CIV)  en  de  ‘KL-methodiek  Integrale  VeiligheidsZorg 
management’  (IVZ-management)  opgesteld  door  de  Project-Organisatie  Bewa- 
kingssysteem  KL  98  van  het  NATionaal  COmmando  (NATCO/PO  BKL  98). 

Onderzocht  is  of  de  werkzaamheden  die  in  het  VIR  zijn  beschreven  zijn  terug  te 
vinden  in  de  KL-methodieken.  Hierbij  is  tevens  gekeken  naar  overeenkomsten  en 
verschillen  in  de  methodieken. 
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1.  Inleiding 

‘Bestuurs-  en  bedrijfsprocessen  in  modeme  organisaties  zijn  in  belangrijke  mate 
afhankelijk  van  goed  functionerende  infoimatiesystemen.  Veel  processen  zijn 
nagenoeg  onmogelijk  zonder  de  toepassing  van  geautomatiseerde  gegevensverwer- 
king.  De  genoemde  afhankelijkheid  wordt  mede  bemvloed  door  de  technologische 
ontwikkelingen  op  bet  gebied  van  de  informatievoorziening’  [1]. 

Door  de  steeds  verdergaande  technologische  ontwikkelingen  en  het  toepassen 
daarvan,  neemt  de  behoefte  aan  informatiebeveiliging  sterk  toe.  Het  ministene  van 
binnenlandse  zaken  heeft  op  de  behoefte  aan  informatiebeveiliging  ingespeeld 
door  het  Voorschrift  Informatiebeveiliging  Rijksdienst  (VIR)  op  te  stellen.  In  dit 
voorschrift  wordt  tokening  gehouden  met  de  ontwikkelingen,  op  het  gebied  van 
informatietechnologie,  “door  geen  gedetailleerde  uitvoeringsregels  te  stellen,  maar 
alleen  op  hoofdlijnen  vast  te  leggen  waaraan  het  informatiebeveiligmgsbeleid  moet 
voldoen”  [2]. 

Aangezien  het  VIR  van  kracht  is  voor  alle  overheidsorganisaties  dient  ook  de 
krijgsmacht  een  informatiebeveiligingsbeleid  te  voeren  dat  minimaal  voldoet  aan 
het  VIR.  Door  de  Beveiligings  Autoriteit  (BA)  van  het  Ministerie  van  Defensie  is 
het  ‘Beleidsdocument  Informatiebeveiliging’  [3]  opgesteld.  Dit  beleidsdocument 
geeft  aan  hoe  de  waarborging  van  de  betrouwbaarheid  van  de  informatievoorzie¬ 
ning  bij  en  door  het  Ministerie  van  Defensie  gerealiseerd  moet  worden.  Waarbij 
met  betrouwbaarheid  het  volgende  bedoeld  wordt:  ‘de  mate  waarin  de  organisatie 
zich  kan  verlaten  op  een  informatiesysteem  voor  zijn  informatievoorziening  . 

Met  als  leidraad  artikel  3  van  het  VIR  wordt  in  het  Beleidsdocument  Informatie¬ 
beveiliging’  een  beleidskader  aangegeven.  Een  van  de  werkzaamheden,  die  binnen 
het  VIR  beschreven  wordt,  is  het  op  systematische  wijze  bepalen  welk  stelsel  van 
beveiligingsmaatregelen  getroffen  dient  te  worden  voor  elk  informatiesysteem 
en/of  verantwoordelijkheidsgebied  binnen  een  organisatie.  De  resultaten  van  deze 
werkzaamheden  worden  opgenomen  in  een  Informatie  Beveiligings  Plan  (IBP). 
Het  VIR  beschrijft  een  aantal  activiteiten  die  uitgevoerd  dienen  te  worden  om  tot 
een  stelsel  van  beveiligingsmaatregelen  te  komen.  Het  betreft  hier  o.a.  de  zoge- 
naamde  afhankelijkheids-  en  kwetsbaarheidsanalyse.  Deze  activiteiten  zullen  in  de 
volgende  hoofdstukken  nader  uitgewerkt  worden. 

De  Koninklijke  Landmacht  (KL)  beschikt  over  een  tweetal  methodieken  die  ge- 
bruikt  kunnen  worden  voor  het  bepalen  van  een  stelsel  van  beveiligingsmaatrege¬ 
len.  Het  betreft  de  KL-methodiek  ‘Handleiding  voor  het  uitvoeren  van  het  Infor- 
matiebeveiligingsproces’  [4]  en  de  ‘KL-methodiek  Integrale  VeiligheidsZorg 
management’  [5].  De  ‘Handleiding  voor  het  uitvoeren  van  het  Informatiebeveili- 
gingsproces’  is  opgesteld  door  de  sectie  Commandovoering  en  Informatie  Voor- 
ziening  van  de  afdeling  Beleidsontwikkeling  van  de  Landmachtstaf 
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(LAS/BO/CrV),  voorheen  de  sectie  Commandovoering  en  Informatie  Voorziening 
van  de  Directie  Operatien  (DOKL/CIV).  De  ‘KL-methodiek  Integrale  Veiligheids- 
Zorg  management’  is  opgesteld  door  de  Projectorganisatie  Bewakingssysteem  KL 
98  van  het  NATionaal  COmmando  (NATCO/PO  BKL  98). 


1.1  Doel  van  het  onderzoek 

LAS/BO/CIV  heeft  TNO-FEL  verzocht,  binnen  het  kader  van  de  ‘Raamopdracht 
Informatiebeveiliging  KL’  (opdrachtnr.  A94KL646),  te  onderzoeken  of  het  tweetal 
KL-methodieken,  voor  wat  betreft  informatiebeveiliging,  aansluit  op  het  beleids- 
kader  en  de  daarbij  uit  te  voeren  werkzaamheden  dat  wordt  geschetst  door  het 
beleidsdocument.  Daar  waar  de  methodieken  niet  aansluiten  dienen  aanvullende 
activiteiten  uit  andere  methodieken  of  bronnen  aangegeven  te  worden. 

Daamaast  is  door  TNO-FEL  een  onderzoek  verricht  naar  de  toepasbaarheid  van  de 
in  de  ‘Handleiding  voor  het  uitvoeren  van  het  Informatiebeveiligingsproces’  opge- 
nomen  processen  voor  het  bepalen  van  de  feitelijke/vereiste  beschikbaarheid, 
integriteit  en  vertrouwelijkheid  van  bedrijfsprocessen  en/of  informatiesystemen. 


1.2  Indeling  rapport 

Om  te  beginnen  zijn  in  hoofdstuk  2  beschrijvingen  opgenomen  van  het  Voorschrift 
Informatiebeveiliging  Rijksdienst  (VIR),  van  de  KL-methodiek  ‘Handleiding  voor 
het  uitvoeren  van  het  InformatieBeveiligings  Proces’  (HIBP)  en  van  de  ‘KL- 
methodiek  Integrale  VeiligheidsZorg  management’  (IVZ-management).  Tevens 
zijn  in  dit  hoofdstuk  de  algemene  overeenkomsten  en  verschillen  van  de  methodie¬ 
ken  opgenomen. 

Vervolgens  zijn  de  activiteiten  afhankelijkheidsanalyse,  het  identificeren  en  analy- 
seren  van  bedreigingen,  de  kwetsbaarheidsanalyse  en  het  opstellen  van  het  infor- 
matiebeveiligingsplan  beschreven  en  zijn  de  relaties  met  de  KL-methodieken 
aangegeven  in  respectievelijk  hoofdstuk  3,  4,  5  en  6. 

In  hoofdstuk  7  zijn  de  aandachtspunten  uitvoeringsvolgorde  subprocessen  HEBP, 
het  beschikbaarheidsproces  volgens  het  HIBP,  het  integriteitsproces  volgens  het 
HIBP  en  het  vertrouwelijkheidsproces  volgens  het  HIBP  nader  onderzocht. 

Tot  slot  zijn  in  hoofdstuk  8  de  conclusies  en  aanbevelingen  op  een  rij  gezet. 
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2.  Beschrijving  methodieken 


Om  een  indruk  te  verkrijgen  van  de  onderzochte  methodieken  worden  in  dit  hoofd- 
stuk  de  onderzochte  methodieken  globaal  beschreven.  Tevens  wordt  in  dit  hoofd- 
stuk  een  algemene  vergelijking  van  de  methodieken  gegeven. 


2.1  Het  Voorschrift  Informatiebeveiliging  Rijksdienst  ‘  VIR’ 

In  het  Voorschrift  Informatievoorziening  Rijksdienst  (VIR)  is  op  hoofdlijnen 
vastgelegd  waaraan  het  informatiebeveiligingsbeleid  van  de  overheid  moet  vol- 
doen.  Daamaast  beschrijft  het  de  aard  van  de  activiteiten  die  uitgevoerd  moeten 
worden  tijdens  het  ontwikkel-,  verwervings-  en/of  exploitatietraject  van  een  infor- 
matiesysteem  om  tot  een  samenhangend  geheel  van  veiligheidsmaatregelen  te 
komen.  Dit  kunnen  zowel  technische,  procedurele,  personele,  fysieke,  als  organi- 
satorische  maatregelen  zijn. 

Het  VIR  verstaat  onder  informatiebeveiliging  ‘het  treffen  en  onderhouden  van  een 
samenhangend  pakket  van  maatregelen  ter  waarborging  van  de  betrouwbaarheid 
van  een  informatiesysteem  en  daarmee  van  de  informatie  daarin’.  Betrouwbaarheid 
heeft,  binnen  het  VIR,  betrekking  op  de  3  aspecten;  beschikbaarheid,  integriteit  en 
exclusiviteit.  Beschikbaarheid  is  de  mate  waann  een  informatiesysteem  in  bedrijf 
is  op  het  moment  dat  de  organisatie  het  nodig  heeft.  Integriteit  is  de  mate  waarin 
een  informatiesysteem  zonder  fouten  is.  Exclusiviteit  is  de  mate  waarin  de  toegang 
tot  en  de  kennisname  van  een  informatiesysteem  en  de  informatie  daarin  is  beperkt 
tot  een  gedefinieerde  groep  van  gerechtigden. 

Om  tot  een  betrouwbare  informatievoorziening  te  komen,  dient  voor  elk 
informatiesysteem  en/of  verantwoordelijkheidsgebied  een  viertal  activiteiten  plaats 
te  vinden: 

•  vaststellen  in  hoeverre  bestuurs-  of  bedrijfsprocessen  die  door  informatiesyste- 
men  ondersteund  worden,  afhankelijk  zijn  van  de  betrouwbaarheid  van  deze 
systemen  en  vaststellen  welke  potentiele  schades  kunnen  optreden  als  gevolg 
van  het  falen  van  deze  informatiesystemen.  Dit  gebeurt  door  middel  van  een  af- 
hankelijkheidsanalyse.  Voor  de  verdere  uitwerking  hiervan  wordt  verwezen 
naar  het  hoofdstuk  afhankelijkheidsanalyse.  De  afhankelijkheidsanalyse  mondt 
uit  in  een  aan  het  informatiesysteem  of  verantwoordelijkheidsgebied  te  stellen 
verzameling  van  betrouwbaarheidseisen; 

•  identificeren  en  analyseren  van  bedreigingen; 

•  kiezen  van  beveiligingsmaatregelen,  waama  door  middel  van  een  kwetsbaar- 
heidsanalyse  geverifieerd  kan  worden  dat  aan  de  gestelde  betrouwbaarheidsei¬ 
sen  wordt  voldaan; 

•  beschrijven  van  alle  gekozen  maatregelen  in  een  informatiebeveiligingsplan. 
Het  informatiebeveiligingsplan  bevat  een  opsomming  van  alle  beveiligings- 
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maatregelen  en/of  de  vindplaatsen  daarvan  -  inclusief  een  calamiteitenparagraaf 
-  welke  voor  een  informatiesysteem  of  een  verantwoordelijkheidsgebied  van 
kracht  zijn.  Het  informatiebeveiligingsplan  dient  als  basis  voor  het  uitvoeren  en 
het  periodiek  toetsen  en  evalueren  van  de  geldigheid  van  de  beschreven  maat¬ 
regelen.  Indien  nodig,  worden  de  gekozen  maatregelen  aangepast  aan  nieuwe 
situaties  of  dreigingen. 


2.2  Beschrijving  KL«methodiek  ^Handleiding  voor  het  uitvoeren 
van  het  Informatiebeveiligingsproces’ 

De  ‘Handleiding  voor  het  uitvoeren  van  het  InformatiebeveiligingsProces’  (verder 
te  noemen  als  HEBP)  beschrijft  de  in  een  stappenplan  opgenomen  activiteiten  die 
uitgevoerd  dienen  te  worden  voor  het  opstellen  van  een  Informatie  Beveiligings 
Plan  (IBP).  Het  IBP  geeft  het  lijnmanagement  (voor  de  KL  is  dit  de  commandant 
van  een  eenheid)  inzicht  in: 

•  het  vereiste  minimum  van  de  informatiebeveiliging  m.b.t.  de  te  beveiligen 
belangen; 

•  de  mate  waarin  de  geautomatiseerde  informatievoorziening  voldoet  aan  dit 
vereiste  minimum  niveau; 

•  de  organisatorische  en  technische  beveiligingsmaatregelen  om  de  geautomati¬ 
seerde  informatievoorziening  op  het  vereiste  minimum  niveau  te  brengen  en  te 
houden; 

•  datgene  waartegen  niet  wordt  beveiligd  en  de  risico’s  wanneer  bewust  maatre¬ 
gelen  achterwege  worden  gelaten; 

•  maatregelen  om  in  geval  van  calamiteiten  de  informatievoorziening  binnen  de 
gestelde  tijd  weer  functionerend  te  krijgen  (calamiteitenplan); 

•  audit  en  control  maatregelen  voor  het  regelmatig  toetsen  en  onderhouden  van 
het  informatiebeveiligingsplan. 

De  uit  te  voeren  activiteiten  (stappen)  vormen  samen  het  informatiebeveiligings¬ 
proces.  Het  proces  is  toepasbaar  in:  bestaande  situaties,  bij  aanschaf  van  automati- 
seringsmiddelen  en  bij  ontwikkeling  van  automatiseringsmiddelen  en/of  applica- 
ties.  Het  proces  is  inzetbaar  in  vredestijd  op  de  vredeslokatie  en  tijdens  crisisbe- 
heersingsoperaties  op  andere  lokaties  dan  de  vredeslokatie.  De  benadering  van  het 
proces  vindt  plaats  vanuit  de  bedrijfsprocessen,  automatiseringsmiddelen,  omge- 
vingsinvloeden  en  de  beveiligingsaspecten  beschikbaarheid,  integriteit  en  vertrou- 
welijkheid. 
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Het  informatiebeveiligingsproces  is  opgedeeld  in  subprocessen.  leder  subproces  is 
een  groepering  van  bij  elkaar  horende  activiteiten  (werkzaamheden).  De  volgende 
subprocessen  zijn  onderkend: 

1.  inventariseren  bedrijfsprocessen  en  gegevens; 

2.  inventariseren  automatiseringsmiddelen; 

3.  bepalen  procesconfiguraties; 

4.  typeren  bedrijfsprocessen; 

5.  bepalen  beveiligingseisen  en  systeemconfiguraties; 

6.  bepalen  feitelijke  beveiligingsniveaus; 

7.  toetsen  vereiste  versus  feitelijke  beveiligingsniveaus; 

8.  uitvoeren  kwetsbaarheidsanalyse; 

9.  formuleren  maatregelen; 

10.  toetsen  en  vaststellen  maatregelen; 

11.  opstellen  en  vaststellen  informatiebeveiligingsplan; 

12.  goedkeuren  informatiebeveiligingsplan; 

13.  uitvoeren  informatiebeveiligingsplan. 

De  HIBP  is  onder  andere  gebaseerd  op  het  ‘Beleid  Informatie  Technologie’  (BIT) 
en  op  de  vigerende  beveiligingsregelgeving,  die  is  opgenomen  in  de  Ministeriele 
Publicatie  MP  10-10  deel  6  [6]. 


2.3  Beschrijving  KL-regelgeving  ‘KL-methodiek  Integrate  Veilig- 
heidsZorg  management’  (IVZ-management) 

Onder  Integrate  VeiligheidsZorg  management  (IVZ-management)  wordt  bij  de  KL 
verstaan;  ‘het  uitvoeren  van  alle  management  activiteiten  op  het  gebied  van  bewa- 
king  en  beveiliging  (inbegrepen  het  handhaven  van  orde  en  rust),  alsmede  het 
uitvoeren  van  de  management  activiteiten  binnen  het  raakvlakmanagement  m.b.t. 
ARBO-zorg,  milieuzorg,  brandweerzorg  en  procescontrole  (bewaken  van  24-uurs 
bedrijfsprocessen)’.  De  KL-methodiek  IVZ-management  beschrijft  hoe  te  komen 
tot  het  ‘Veiligheidszorg  Informatie  Pakket’  (VIP).  Het  VIP  is  een  bundeling  van 
plannen  die  voortvloeien  uit  de  Integrate  VeiligheidsZorg  (IVZ).  Deze  plannen 
dienen  te  worden  opgesteld  door  de  verantwoordelijke  commandant  (lijnmanager). 
Het  betreft  de  volgende  plannen: 

•  het  BasisPlan  Integrate  VeiligheidsZorg  (BP-IVZ); 

•  het  PLAN  Interne  Veiligheidszorg  Organisatie  (PLAN-IVO); 

•  het  PLAN  Exteme  Veiligheidszorg  Organisatie  (PLAN-EV O). 

Het  BP-rVZ  geeft  een  overzicht  van  alle  getroffen  (beveiligings)maatregelen  op 
basis  van  beleid,  het  risicoprofiel,  de  vitaliteit  van  de  bedrijfsprocessen  van 
“klanten”,  scenario’s  en  verder  van  belang  zijnde  lokale/situationele  omstandighe- 
den.  Het  BP-IVZ  regelt  alle  zaken  en  activiteiten  die  onder  de  normale  routine 
vallen.  Het  BP-IVZ  bestaat  weer  uit  de  volgende  deelplannen: 
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•  het  VeiligHeidsZorg  BeleidsPlan  (VHZ-BP):  dit  plan  verwoordt  in  hoofdlijnen 
het  beleid  van  de  verantwoordelijke  commandant  op  het  gebied  van  integrale 
veiligheidszorg; 

•  het  Risico  PROfiel  (RIPRO):  in  het  RIPRO  wordt  een  totaalbeeld  geschetst  van 
de  risico’ s  die  onderkend  worden  per  object  of  lokatie; 

•  het  Basis  Veiligheidszorg  Plan  (BVP):  in  dit  plan  zijn  de  plattegronden  van  de 
betrokken  objecten  en  lokatie  opgenomen.  Per  object  of  lokatie  wordt  aangege- 
ven  of  dit  zich  bevindt  in  vitaal  gebied,  beveiligd  gebied  of  observatiegebied. 
Daamaast  wordt  in  dit  plan  een  opsomming  gegeven  van  alle  organisatorische, 
bouwkundige  en  electronische  (beveiligings)maatregelen  per  object  of  lokatie; 

•  het  Informatie  Beveiligings  Plan  (IBP):  dit  plan  geeft  een  opsomming  van  alle 
beveiligingsmaatregelen  die  getroffen  zijn  voor  de  beveiliging  van  de  informa- 
tiesystemen  die  zich  binnen  de  objecten  en/of  lokaties  bevinden; 

•  het  BeWakings  Plan  (BWP):  in  dit  plan  worden  o.a.  de  algemene  instructies 
voor  het  bewakingspersoneel  opgenomen; 

•  het  Plan  Ressort  gebonden  Taken  (PRT);  in  dit  plan  zijn  extra  taken,  bevoegd- 
heden  en  verantwoordelijkheden  van  het  IVZ-personeel  opgenomen. 

Het  PLAN-IVO  en  het  PLAN-EVO  regelen  de  niet-routinematige  zaken  en  activi- 
teiten  die  zich  bijvoorbeeld  voordoen  tijdens  calamiteiten.  Het  PLAN-IVO  be- 
schrijft  de  berichtgeving  en  maatregelen  die  uitgevoerd  dienen  te  worden  door  de 
rVZ-manager  en/of  het  bewakingspersoneel  op  de  plaats  waar  de  calamiteit  plaats- 
vindt.  Het  PLAN-EVO  beschrijft  deze  zaken  voor  exteme  dienstverleners,  zoals: 
Kmar,  politie  en/of  brandweer. 
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3.  Algemeen 

In  dit  hoofdstuk  worden  de  overeenkomsten  en  verschillen  van  algemene  aard 
weergegeven. 


3.1  Algemene  overeenkomsten  en  verschillen 

Het  VIR  is  geschreven  op  een  hoog  abstractieniveau.  De  HIBP  en  de  KL- 
methodiek  IVZ  management  zijn  praktisch  ingesteld.  De  HIBP  en  de  KL- 
methodiek  IVZ  management  kunnen  gezien  worden  als  een  praktische  invulling 

van  het  VIR. 

Voor  alle  methoden  geldt  dat  de  verantwoordelijkheid  voor  het  uitvoeren  van  de 
activiteiten  binnen  deze  methoden  ligt  bij  het  (lijn)management.  Binnen  de  KL 
betekent  dit  dat  de  commandant  van  het  betreffende  onderdeel  verantwoordelijk  is 
voor  het  uitvoeren  van  deze  activiteiten. 

Het  VIR  en  de  ‘Handleiding  voor  het  uitvoeren  van  het  Informatiebeveiligingspro- 
ces’  (HIBP)  beperken  zich  beide  tot  informatiebeveiliging.  De  KL-methodiek  IVZ- 
management,  daarentegen,  is  een  methodiek  die  de  werkzaamheden  om  te  komen 
tot  een  adequate  beveiliging,  in  de  breedste  zin  van  het  woord,  van  een  KL  object, 
lokatie,  eenheid  of  afdeling  beschrijft.  Deze  methodiek  gaat  dus  verder  dan  alleen 
informatiebeveiliging. 

Het  uitvoeren  van  de  werkzaamheden  en  activiteiten  beschreven  in  het  VIR  en  de 
HIBP  resulteren  in  een  Informatie  Beveiligings  Plan  (IBP).  Het  uitvoeren  van  de 
activiteiten  en  werkzaamheden  van  de  KL-methodiek  IVZ-management  heeft  een 
bundeling  van  plannen  als  resultant.  Een  van  die  plannen  binnen  deze  bundeling  is 
een  IBP.  Bij  de  beschrijving  die  IVZ-management  geeft  over  het  IBP  worden  de 
volgende  documenten  als  onderhavige  regelgeving  beschouwd: 

•  Beleidsbundel  Informatiebeveiliging  KL; 

•  Handleiding  voor  het  uitvoeren  van  het  informatiebeveiligingsproces; 

•  concept  MP  10-10  deel  6. 

Hit  de  omschrijving,  die  door  de  KL-methodiek  IVZ-management  wordt  gegeven 
met  betrekking  tot  het  IBP,  kan  worden  opgemaakt  dat  de  invulling  van  een  IBP 
kan  (dient  te)  worden  uitgevoerd  conform  de  HIBP.  Voor  het  verloop  van  het 
onderzoek  is  dan  ook  aangenomen  dat  de  KL-methodiek  IVZ  management  voor  het 
opstellen  van  een  IBP  verwijst  naar  de  HIBP. 

Het  VIR  en  de  HIBP  gebruiken  verschillende  benamingen  voor  dezelfde  begrip- 
pen.  Daamaast  worden  twee  totaal  verschillende  begrippen  van  dezelfde  naam 
voorzien.  Het  betreft  het  begrip  ‘betrouwbaarheidseisen’  (VIR)  en  het  begrip 
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‘betrouwbaarheid  of  integriteit’  (HIBP).  Het  VIR  verstaat  onder  het  begrip 
‘betrouwbaarheidseisen’  de  verzameling  van  exclusiviteitseisen,  integriteitseisen 
en  beschikbaarheidseisen,  terwijl  de  HIBP  spreekt  over  ‘betrouwbaarheid’  waar- 
mee  gedoeld  wordt  op  integriteit.  Om  in  de  toekomst  verwarringen  te  voorkomen 
wordt  aanbevolen  de  begrippen  in  de  HIBP  te  benoemen  conform  het  VIR. 

Het  VIR  geeft  aan  dat  op  beleidsniveau  de  informatiebeveiligingsaspecten  geclas- 
sificeerd  dienen  te  worden,  maar  geeft  zelf  geen  classificering  aan.  Binnen  de 
HIBP  en  de  KL-methodiek  IVZ-management  worden  de  informatiebeveiligingsas¬ 
pecten  wel  geclassificeerd. 

De  HIBP  geeft  een  volgorde  aan  de  subprocessen,  waarbij  wordt  gesteld  dat  pas 
aan  een  volgend  subproces  kan  worden  begonnen  wanneer  de  resultaten  van  het 
voorgaande  subproces  bekend  zijn.  Hierbij  wordt  de  indruk  gewekt  dat  de  subpro¬ 
cessen  ook  daadwerkelijk  in  die  volgorde  uitgewerkt  dienen  te  worden  om  tot  een 
goed  resultaat  te  komen.  Het  VIR  geeft  echter  geen  volgorde  aan  voor  het  uitvoe- 
ren  van  de  afhankelijkheidsanalyse,  kwetsbaarheidsanalyse  en  inventarisatie  en 
analyse  van  de  bedreigingen.  Dit  neemt  niet  weg  dat  eerst  de  betrouwbaarheidsei¬ 
sen  (resultaat  van  de  afhankelijkheidsanalyse),  een  inventarisatie  en  analyse  van 
bedreigingen  en  de  te  treffen  maatregelen  bekend  moeten  zijn  om  een  kwetsbaar¬ 
heidsanalyse  uit  te  kunnen  voeren.  Het  VIR  geeft  echter  geen  volgorde  aan  voor 
het  uitvoeren  van  een  afhankelijkheidsanalyse  en  een  inventarisatie  en  analyse  van 
bedreigingen. 

3.2  Specifieke  overeenkomsten  en  verschillen 

Om  een  beeld  te  krijgen  van  de  specifieke  overeenkomsten  en  verschillen  tussen  de 
genoemde  methodieken  zal  in  de  volgende  hoofdstukken  verder  ingegaan  worden 
op  de  afhankelijkheidsanalyse,  identificeren  en  analyseren  van  bedreigingen,  de 
kwetsbaarheidsanalyse  en  het  opstellen  van  het  informatiebeveiligingsplan.  Daar- 
naast  zullen  apart  de  processen  voor  het  bepalen  van  de  beschikbaarheid,  integri¬ 
teit  en  vertrouwelijkheid,  zoals  deze  beschreven  zijn  in  de  HIBP,  worden  onder- 
zocht  op  hanteerbaarheid  en/of  bruikbaarheid. 
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4.  Afhankelijkheidsanalyse 


In  dit  hoofdstuk  wordt  onderzocht  of  met  behulp  van  een  deel  van  de  activiteiten 
van  de  HIBP  een  afhankelijkheidsanalyse  volgens  het  VIR  uitgevoerd  kan  worden. 
Voor  de  uitvoering  van  dit  onderzoek  zal  een  beschrijving  worden  gegeven  van  de 
afhankelijkheidsanalyse  volgens  het  VIR.  De  stappen  binnen  de  afhankelijkheids¬ 
analyse  zullen  worden  gerelateerd  aan  de  corresponderende  activiteiten  uit  de 
HIBP.  Daar  waar  de  HIBP  niet  toereikend  is  zullen  activiteiten  uit  andere  metho- 
dieken/bronnen  worden  aangegeven. 


4.1  Beschrijving  afhankelijkheidsanalyse  volgens  het  VIR 

De  afhankelijkheidsanalyse  bestaat  uit  een  vijftal  stappen.  De  eerste  3  stappen  zijn 
gericht  op  het  verkrijgen  van  inzicht  in  de  mate  waarin  de  bedrijfsprocessen 
afhankelijk  zijn  van  het  adequaat  functioneren  van  het  informatiesysteem.  De 
laatste  2  stappen  zijn  gericht  op  het  bepalen  van  een  set  van  betrouwbaarheidseisen 
die  aan  het  informatiesysteem  worden  gesteld.  De  stappen  zijn  achtereenvolgens; 

•  [A.  1]  inventariseren  van  de  doelstellingen  en  de  bestuurs-  en  bedrijfsprocessen. 
Hiermee  wordt  inzicht  verkregen  in  de  doelstellingen,  producten  en  kemgege- 
vens  van  de  bestuurs-  en  bedrijfsprocessen,  alsmede  in  de  samenhang  hiertus- 
sen  en  de  relaties  met  exteme  instances; 

•  [A.2]  vaststellen  van  de  relatie  tussen  de  bestuurs-  en  bedrijfsprocessen  en  het 
informatiesysteem.  Van  belang  is  hierbij  om  te  bepalen  welke  processen  door 
het  informatiesysteem  worden  ondersteund  en  op  welke  manier  dat  gebeurt. 

Ook  de  positieve  effecten  van  informatiebeveiliging  dienen  te  worden  bepaald, 

•  [A.3]  vaststellen  van  de  mogelijke  schade  als  gevolg  van  verstoringen  in  de 
informatievoorziening.  De  mogelijke  schade  bestaat  uit  directe,  herstel-  en  ver- 
volgschade.  Directe  schade  is  het  verlies  van  activa,  herstelschade  bestaat  uit  de 
kosten  die  gemaakt  moeten  worden  om  de  activa  opnieuw  aan  te  schaffen  of  op 
te  bouwen  en  gevolgschade  is  alle  indirecte  schade  die  verbonden  is  met  het 
voorgaande; 

•  [A.4]  vaststellen  van  de  maximaal  toelaatbare  schade.  Bepalen  welke  schade 
geaccepteerd  wordt  door  de  organisatie; 

•  [A. 5]  formuleren  van  de  aan  het  informatiesysteem  te  stellen  eisen.  Deze  eisen 
worden  opgesplitst  in  beschikbaarheids-,  integriteits-  en  exclusiviteitseisen. 


4.2  Relatie  met  de  HIBP 


De  HIBP  zal  in  relatie  worden  gebracht  met  de  stappen  van  de  afhankelijkheids¬ 
analyse. 
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Door  het  uitvoeren  van  subproces  1  -  Inventariseren  bedrijfsprocessen  en  gege- 
vens  -  van  de  HIBP  kan  stap  [A.l]  worden  gerealiseerd. 

Stap  [A.2]  kan  worden  verkregen  door  subproces  3  -  Bepalen  procesconfiguraties  - 
van  de  HIBP  uit  te  voeren.  Subproces  3  maakt  gebruik  van  de  resultaten  van  de 
subprocessen  1  en  2.  Met  subproces  1  worden  de  bedrijfsprocessen  gei'nventari- 
seerd.  Binnen  subproces  2  dienen  de  IT-middelen,  en  de  daarbij  behorende  techni- 
sche  gegevens,  gei'nventariseerd  te  worden.  Binnen  de  afhankelijkheidsanalyse 
wordt  echter  alleen  gekeken  naar  de  relatie  tussen  bedrijfsprocessen  en  informatie- 
systemen.  Een  informatiesysteem  is  opgebouwd  uit  een  verzameling  van  IT- 
middelen.  Omdat  hier  alleen  informatiesystemen  relevant  zijn  is  het  niet  noodza- 
kelijk  om  IT-middelen  te  inventariseren.  Subproces  2  kan  dus  beperkt  worden  tot 
een  inventarisatie  van  de  informatiesystemen  die  nodig  zijn  voor  de  uitvoering  van 
de  bedrijfsprocessen.  Er  hoeft  niet  nader  gespecificeerd  te  worden  met  welke  IT- 
middelen  dit  gebeurd.  Inventarisatie  van  de  IT-middelen  is  echter  wel  noodzakelijk 
voor  het  bepalen  van  de  beveiligingsmaatregelen,  het  analyseren  van  de  bedreigin- 
gen  en  het  uitvoeren  van  een  kwetsbaarheidsanalyse. 

Het  VIR  geeft  aan  dat  binnen  het  informatiebeveiligingsbeleid  een  classificatie  van 
de  informatiebeveiligingsaspecten  moet  worden  opgenomen.  Deze  classificatie 
dient  gebruikt  te  worden  bij  de  uitvoering  van  de  stappen  [A. 3]  en  [A.4].  Deze 
stappen  resulteren  in  een  overzicht  van  de  bedrijfsprocessen  gerelateerd  aan  de 
classificaties  van  de  informatiebeveiligingsaspecten.  Het  subproces  4  -  Typeren 
bedrijfsprocessen  -  geeft  voor  de  3  informatiebeveiligingsaspecten  een  classifice- 
ring  aan.  Het  subproces  geeft  slechts  een  summiere  indicatie  van  de  schade  bij  de 
diverse  classificeringen  (zie  bijlage  B  van  de  HIBP).  In  de  Ministeriele  Publicatie 
10-10^  (MP  10-10)  wordt  dit  wel  gedaan  voor  de  classificering  van  de  vertrouwe- 
lijkheid.  Door  uitvoering  van  subproces  4,  in  combinatie  met  de  MP  10-10,  kan  per 
bedrijfsproces  uitsluitend  voor  het  informatiebeveiligingsaspect  vertrouwelijkheid 
de  mogelijke  schade  en  de  maximaal  toelaatbare  schade  worden  bepaald. 

Samen  met  de  resultaten  van  de  subprocessen  1  t/m  4  kan  door  uitvoering  van 
subproces  5  -  Bepalen  beveiligingseisen  en  systeemconfiguraties  -  de  stap  [A.5] 
van  de  afhankelijkheidsanalyse  worden  uitgevoerd. 


4.3  Relatie  met  de  KL-methodiek  IVZ-management 

Ook  de  KL-methodiek  IVZ-management  zal  in  relatie  worden  gebracht  met  de 
stappen  van  de  afhankelijkheidsanalyse. 


I 


In  de  Ministeriele  Publicatie,  MP  10-10,  staat  onder  andere  vermeld  wat  voor 
soort  schade,  en  in  welke  mate,  er  kan  ontstaan  wanneer  gerubriceerde  informatie 
verloren  gaat  of  in  verkeerde  handen  terecht  komt. 
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Binnen  het  lYZ-management  wordt  gestreeft  naar  het  opstellen  van  een  bundeling 
van  plannen.  Een  van  deze  plannen  is  het  Informatie  Beveiligings  Plan  (IBP).  Bij 
de  beschrijving  die  de  KL-methodiek  geeft  over  het  IBP  worden  de  volgende 
documenten  als  onderhavige  regelgeving  beschouwd: 

•  Beleidsbundel  Informatiebeveiliging  KL; 

•  Handleiding  voor  het  uitvoeren  van  het  informatiebeveiligingsproces; 

•  concept  MP  10-10  deel  6. 

Hiervan  uitgaande  kan  worden  verondersteld  dat  voor  het  uitvoeren  van  een  afhan- 
kelijkheidsanalyse  wordt  verwezen  naar  de  subprocessen  1  t/m  5  van  het  document 
‘Handleiding  voor  het  uitvoeren  van  het  Informatiebeveiligingsproces’. 


Het  IVZ-management  biedt  echter  een  aantal  extra  hulpmiddelen  om  een  afhanke- 
lijkheidsanalyse  uit  te  voeren.  De  KL-methodiek  IVZ-management  geeft  een 
praktisch  bruikbare  mate  van  schade  aan  de  classificeringen  van  de  informatiebe- 
veiligingsaspecten.  De  ‘handleiding  voor  het  uitvoeren  van  het  Informatiebeveili¬ 
gingsproces’  geeft  slechts  een  theoretische  mate  van  schade  aan.  Door  de  twee 
methodieken  te  combineren  is  het  mogelijk  een  beter  inzicht  te  krijgen  in  de  mate 
van  schade.  Het  bepalen  van  de  mate  van  schade  wordt  beschreven  in  het  deel  dat 
betrekking  heeft  op  het  Risico  PROfiel  (RIPRO).  Deze  hulpmiddelen  hebben 
betrekking  op  de  stappen  A. 3  en  A.4  van  de  afhankelijkheidsanalyse. 

De  overige  activiteiten  die  door  de  KL-methodiek  IVZ-management  worden  voor- 
geschreven  hebben  geen  relatie  tot  de  afhankelijkheidsanalyse,  zoals  deze  door  het 
VIR  wordt  voorgeschreven. 


4,4  Conclusies  en  aanbevelingen 

In  tabel  4.1  wordt  een  overzicht  gegeven  van  de  te  volgen  subprocessen  voor  het 
uitvoeren  van  een  afhankelijkheidsanalyse. 

Subproces  1  kan  zonder  meer  worden  uitgevoerd  voor  het  realiseren  van  stap 
[A.l]. 

Voor  stap  [A.2]  is  een  beperkte  uitvoering  van  subproces  2  gecombineerd  met  het 
uitvoeren  van  subproces  3  voldoende.  Hierbij  dient  subproces  2  beperkt  te  worden 
tot  het  inventariseren  van  de  informatiesystemen.  Aanbevolen  wordt  om  de  inven- 
tarisatie  van  de  IT-middelen  binnen  de  afhankelijkheidsanalyse  uit  te  voeren.  Op 
deze  manier  is  het  mogelijk  een  beter  inzicht  te  knjgen  in  het  soort  bedreigingen 
en  de  te  nemen  maatregelen. 

Subproces  4  van  de  HIBP  biedt  een  voldoende  classificering  van  de  informatiebe- 
veiligingsaspecten.  Aangevuld  met  de  KL-methodiek  IVZ-management  en  de  MP 
10-10  resulteert  dit  subproces  in  de  vaststelling  van  de  mogelijke  schade  en  de 
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maximaal  toelaatbare  schade.  Dit  komt  overeen  met  het  uitvoeren  van  de  stappen 
[A.3]  en  [A.4]  van  de  afhankelijkheidsanalyse. 


Subproces  5  kan  worden  uitgevoerd  voor  het  realiseren  van  stap  [A.5]. 

Tabel  4.1 :  Overzicht  van  de  resultaten  van  de  vergelijking  tussen  de  afhankelijkheids¬ 
analyse  van  het  VIR  en  de  HIBP. 


stappen  afh.  analyse 
volgens  VIR 

subprocessen  HIBP 

Aanvullende  handelingen 
op  de  subprocessen  HIBP 

A.1 

inventariseren  bedrijfspro- 
cessen 

subproces  1  -  Inventarise¬ 
ren  bedrijfsprocessen  en 
gegevens 

n.v.t. 

A.2 

vaststellen  relaties 

subproces  2  (beperkt)  - 
Inventariseren  automatise- 
ringsmiddelen  -f  subproces 

3  -  Bepalen  procesconfigu- 
raties 

n.v.t. 

A.3 

vaststellen  mogelijke 
schade 

subproces  4  -  Typeren 
bedrijfsprocessen 

bepalen  mogelijke  schade 
voor  de  beveiligings- 
aspecten  exclusiviteit, 
integriteit  en  beschikbaar- 
heid^ 

A.4 

vaststellen  van  de  maxi¬ 
maal  toelaatbare  schade 

subproces  4 

bepalen  maximaal  toelaat¬ 
bare  schade  voor  de 
beveiligingsaspecten 
exclusiviteit,  integriteit  en 
beschikbaarheid^ 

A.5 

formuleren  eisen 

subproces  5  -  Bepalen 
beveiligingseisen  en 
systeemconfiguraties 

n.v.t. 

^  Hiervoor  kan  gebruik  gemaakt  worden  van  de  waarde-incident  tabel  en  de  INCI- 
DETAR  methodiek  die  zijn  beschreven  in  de  KL-methodiek  IVZ  management. 
Voor  het  aspect  exclusiviteit  kan  tevens  gebruik  gemaakt  worden  van  de  MP  10- 
10  deel  3.  Exclusiviteit  wordt  binnen  de  MP  10-10  aangegeven  als  vertrouwelijk- 
heid. 


3 


Zie  voetnoot  2 
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5.  Identificeren  en  analyseren  van  bedreigingen 

In  dit  hoofdstuk  wordt  onderzocht  met  welk  deel  van  de  activiteiten  van  de  HIBP 
het  identificeren  en  analyseren  van  bedreigingen  uitgevoerd  kan  worden.  Het 
identificeren  en  analyseren  van  bedreigingen  wordt  gerelateerd  aan  de  juiste  acti¬ 
viteiten  uit  de  HIBP. 


5.1  Beschrijving  identificeren  en  analyseren  van  bedreigingen 
volgens  het  VIR 

Om  gericht  beveiligingsmaatregelen  te  kunnen  treffen,  is  het  nodig  inzicht  te 
krijgen  in  de  factoren  die  de  gestelde  betrouwbaarheidseisen  bedreigen.  Om  een  zo 
volledig  mogelijk  beeld  te  krijgen  van  alle  mogelijke  bedreigingen,  moet  voor  alle 
componenten  van  een  informatiesysteem  worden  nagegaan  waardoor  verlies  aan 
beschikbaarheid,  integriteit  en  exclusiviteit  kan  ontstaan.  Als  bekend  is  op  welke 
manier  bedreigingen  tot  verstoringen  leiden,  kunnen  incidenten  worden  geconstru- 
eerd.  De  beschrijvingen  van  deze  incidenten  zijn  nodig  om  in  de  volgende  fase  de 
juiste  maatregelen  te  kunnen  treffen. 


5.2  Relatie  met  de  HIBP 

Identificeren  en  analyseren  van  bedreigingen  kan  worden  gerealiseerd  door  de 
uitvoering  van  subproces  8  -  Uitvoeren  kwetsbaarheidsanalyse. 

5.3  Relatie  met  de  KL-methodiek  rVZ-management 

Ook  bier  kan  worden  verwezen  naar  de  subprocessen  van  de  HIBP  die  uitgevoerd 
dienen  te  worden  voor  het  identificeren  en  analyseren  van  de  bedreigingen.  Uit  de 
vorige  paragraaf  is  duidelijk  geworden  dat  voor  het  identificeren  en  analyseren  van 
de  bedreigingen  subproces  8  dient  te  worden  uitgevoerd. 

Bij  de  KL-methodiek  IVZ-management  wordt  binnen  het  Risico  PROfiel  (RIPRO) 
een  totaalbeeld  geschetst  van  de  risico’ s  waaraan  een  object  of  lokatie  blootgesteld 
kan  worden.  Hierbij  dient  gedacht  te  worden  aan  potentiele  incidenten  en  mogelij- 
ke  scenario’s.  Tevens  bevat  dit  plan  een  profiel  van  mogelijke  individuen  en/of 
organisaties  die  de  oorzaak  kunnen  zijn  van  mogelijke  incidenten.  Het  betreft  hier 
zogenaamde  daderprofiel. 

Wanneer  de  KL-methodiek  IVZ-management  wordt  uitgevoerd  dient  bij  het  op- 
stellen  van  het  IBP  rekening  gehouden  te  worden  met  de  potentiele  incidenten, 
scenario’s  en  daderprofielen  die  zijn  opgenomen  in  het  RIPRO.  Deze  incidenten. 
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scenario’s  en  daderprofielen  hebben  betrekking  op  alle  mogelijke  zaken  die  bevei- 
ligd  dienen  te  worden.  Binnen  het  IBP  zullen  alleen  die  gegevens  worden  opgeno- 
men  die  betrekking  hebben  op  informatiesystemen.  Een  deelverzameling  van  de 
potentiele  incidenten,  scenario’s  en  het  daderprofiel  uit  dit  RIPRO  kunnen  worden 
opgenomen  in  het  IBP.  Het  betreft  hier  de  gegevens  die  betrekking  hebben  op 
informatiesystemen  of  die  door  een  vertaalslag  kunnen  worden  aangepast,  zodat  ze 
betrekking  hebben  op  informatiesystemen. 


5.4  Conclusies  en  aanbevelingen 


Tabel  5.1:  Overzicht  van  de  resultaten  van  de  vergelijking  van  het  identificeren  en 

analyseren  van  bedreigingen  volgens  het  VIR  en  de  HIBP. 


activiteiten  VIR 

subprocessen 

Aanvullende  handelingen 

HIBP 

op  de  subprocessen  HIBP 

identificeren  en  analyseren 
van  bedreigingen 

subproces  8  -  Uitvoeren 
kwetsbaarheidsanalyse 

RIPRO  IVZ-management 

Subproces  8  dient  uitgevoerd  te  worden  voor  het  identificeren  en  analyseren  van 
bedreigingen. 

Volgens  de  HIBP  is  het  doel  van  subproces  8  het  uitvoeren  van  de  kwetsbaarheids- 
analyse.  Het  subproces  heet  dan  ook  ‘Uitvoeren  kwetsbaarheidsanalyse’.  Het  VIR 
verstaat  echter  iets  anders  onder  het  uitvoeren  van  een  kwetsbaarheidsanalyse,  zie 
hiervoor  het  volgende  hoofdstuk.  Om  spraakverwarringen  te  voorkomen  wordt 
aanbevolen  de  naam  van  subproces  8  aan  te  passen  aan  de  activiteiten  die  binnen 
dit  subproces  worden  uitgevoerd.  Wanneer  de  terminologie  van  het  VIR  wordt 
overgenomen  kan  subproces  8  benoemd  worden  als  ‘Identificeren  en  analyseren 
van  bedreigingen’. 
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6.  Kwetsbaarheidsanalyse 

In  dit  hoofdstuk  wordt  onderzocht  of  met  behulp  van  een  deel  van  de  activiteiten 
van  de  HIBP  een  kwetsbaarheidsanalyse  volgens  bet  VIR  uitgevoerd  kan  worden. 
Voor  de  uitvoering  van  dit  onderzoek  zal  een  beschrijving  worden  gegeven  van  de 
kwetsbaarheidsanalyse  volgens  het  VIR.  De  stappen  binnen  de  kwetsbaarheids¬ 
analyse  zullen  worden  gerelateerd  aan  de  juiste  activiteiten  uit  de  HIBP. 


6.1  Beschrijving  kwetsbaarheidsanalyse  volgens  het  VIR 

Uitgaande  van  de  betrouwbaarheidseisen  en  de  geidentificeerde  bedreigingen 
wordt  een  pakket  van  informatiebeveiligingsmaatregelen  gekozen,  waarbij  het  de 
voorkeur  heeft  om  zoveel  mogelijk  gebruik  te  maken  van  maatregelen  die  binnen 
de  organisatie  al  uit  andere  hoofde  zijn  getroffen.  De  kosten  van  de  gekozen  maat¬ 
regelen  dienen  in  evenwicht  te  zijn  met  de  baten,  dus  met  de  beperking  van  de 
mogelijke  schade.  Het  gekozen  stelsel  van  maatregelen  dient  bovendien  op  elk 
moment  van  dien  aard  te  zijn  dat  aantoonbaar  aan  de  betrouwbaarheidseisen  wordt 
voldaan.  Hiertoe  zal  periodiek  een  kwetsbaarheidsanalyse  moeten  worden  uitge¬ 
voerd.  Op  basis  van  de  kwetsbaarheidsanalyse  kan  worden  geconstateerd  of  de 
resulterende  betrouwbaarheid  van  het  systeem  (nog)  voldoet  aan  de  gestelde  eisen. 
Als  dit  niet  het  geval  is,  dienen  andere  of  aanvullende  maatregelen  genomen  te 
worden  en  moet  de  kwetsbaarheidsanalyse  opnieuw  worden  uitgevoerd.  Binnen 
deze  analyse  wordt  tevens  nagegaan  welke  risico’s  (verstoringen  in  het  bedrijf- 
sproces,  door  toedoen  van  bedreigingen)  geaccepteerd  worden  en  welke  niet.  Als 
het  systeem  voldoende  betrouwbaar  is  bevonden,  worden  de  beveiligingsmaatre- 
gelen  uitgewerkt  en  opgenomen  in  een  informatiebeveiligingsplan.  Het  opstellen 
van  het  informatiebeveiligingsplan  valt  buiten  de  grenzen  van  de  kwetsbaarheids¬ 
analyse. 


6.2  Relatie  met  de  HIBP 

Door  het  uitvoeren  van  de  subprocessen  6,  7,  9  en  10  kan  een  kwetsbaarheidsana¬ 
lyse  volgens  het  VIR  worden  uitgevoerd.  Binnen  deze  processen  wordt  het  feitelij- 
ke  beveiligingsniveau  vergeleken  met  het  vereiste  (gewenste)  beveiligingsniveau. 
Wanneer  het  vereiste  niveau  hoger  is  dan  het  feitelijke  niveau  dienen,  binnen 
subproces  9,  maatregelen  getroffen  te  worden.  Deze  maatregelen  dienen  ervoor  te 
zorgen  dat  het  feitelijke  niveau  gelijk  getrokken  wordt  met  het  vereiste  niveau.  De 
te  treffen  maatregelen  worden  getoetst  op  aspecten  als  doeltreffendheid,  onder- 
houdbaarheid,  realiseerbaarheid.  Tevens  wordt  onderzocht  of  de  kosten  van  de  te 
treffen  maatregelen  in  verhouding  zijn  met  de  mogelijke  schade  die  kan  worden 
opgelopen. 


TNO- rapport 


24 


FEL-97-A066 


6.3  Relatie  met  de  KL-methodiek  IVZ-management 

Ook  hier  kan  worden  verwezen  naar  de  subprocessen  van  de  HIBP  die  uitgevoerd 
dienen  te  worden  voor  het  uitvoeren  van  een  kwetsbaarheidsanalyse.  De  vorige 
paragraaf  geeft  aan  dat  het  de  subprocessen  6,  7,  9  en  10  betreft. 

De  KL-methodiek  IVZ-management  heeft  binnen  het  opstellen  van  het  RIPRO  een 
tweetal  methodieken  aan  waarmee  een  kwetsbaarheidsanalyse  kan  worden  uitge¬ 
voerd.  Het  betreft  de  volgende  methodieken: 

•  de  waarde-incident-matrix; 

•  de  INCI-DETAR-methodiek. 

Deze  methodieken  zijn  gericht  op  het  analyseren  van  Organisatorische,  Bouwkun- 
dige  en  Electronische  maatregelen  (de  zogenaamde  OBE-maatregelen).  De  OBE- 
maatregelen,  zoals  ze  binnen  het  RIPRO  behandeld  worden,  zijn  sterk  gericht  op 
organisatorische  en  fysieke  beveiliging.  Het  is  echter  mogelijk  deze  methodieken 
toe  te  passen  bij  het  uitvoeren  van  een  kwetsbaarheidsanalyse  met  betrekking  tot 
informatiesystemen. 


6.4  Conclusies  en  aanbevelingen 


Tabel  6.1:  Overzicht  van  de  resultaten  van  de  vergelijking  tussen  de  kwetsbaarheids¬ 

analyse  van  het  VIR  en  de  HIBP. 


activiteiten 

subprocessen 

Aanvullende  handelingen 

VIR 

HIBP 

op  de  subprocessen  HIBP 

kwetsbaar- 

subprocessen  6  -  Bepalen  feltelijke 

RIPRO  IVZ- 

heidsanalyse 

beveiligingsniveaus,  7  -  Toetsen  verelste 

management/waarde- 

versus  feltelijke  beveiligingsniveaus,  9  - 

incident-matrix,  INCI- 

Formuleren  maatregelen  en  10  -  Toetsen 
en  vaststellen  maatregelen 

DETAR-methodiek 

Met  behulp  van  de  HIBP  is  het  mogelijk,  zonder  aanvullende  handelingen,  een 
kwetsbaarheidsanalyse  uit  te  voeren. 


Het  is  aan  te  bevelen  de  subprocessen  van  de  HIBP  samen  te  voegen  en  te  hemoe- 
men  tot  kwetsbaarheidsanalyse,  vanwege  de  uniformiteit  met  het  VIR. 
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7.  Opstellen  van  het  ‘Informatie  Beveiligings  Plan  (IBP)’ 

In  dit  hoofdstuk  wordt  onderzocht  of  met  behulp  van  een  deel  van  de  activiteiten 
van  de  HIBP  een  Informatie  Beveiligings  Plan  (IBP)  kan  worden  opgesteld  dat 
voldoet  aan  de  normen  gesteld  in  het  VIR.  Voor  de  uitvoering  van  dit  onderzoek 
zal  een  beschrijving  worden  gegeven  van  het  IBP  volgens  het  VIR.  De  vereiste 
onderdelen  van  het  IBP  zullen  worden  vergeleken  met  het  IBP  uit  de  HIBP. 


7.1  Beschrijving  IBP  volgens  het  VIR 

In  het  VIR  staat  beschreven  dat  voor  elk  informatiesysteem  en  voor  elk  verant- 
woordelijkheidsgebied  een  IBP  dient  te  worden  opgesteld.  Het  VIR  geeft  als 
definitie  voor  een  IBP:  opsomming  van  alle  beveiligingsmaatregelen  en/of  vind- 
plaatsen  daarvan  welke  voor  een  informatiesysteem  of  een  verantwoordelijkheids- 
gebied  van  kracht  zijn. 

Volgens  het  VIR  is  het  doel  van  het  IBP: 

•  dienen  als  communicatiemiddel  richting  gebruikers  en  technische  staf, 

•  afleggen  van  verantwoording  naar  het  hogere  lijnmanagement; 

•  vormen  van  een  basis  voor  periodieke  controle. 

Het  IBP  dient  een  beschrijving  van  het  stelsel  van  te  bevatten  of  minimaal  een 
compleet  stelsel  van  verwijzingen  naar  de  plaatsen  waar  deze  maatregelen  zijn 
beschreven.  De  overweging  waardoor  tot  deze  maatregelen  is  gekomen  hoeven  niet 
in  het  IBP  te  worden  opgenomen.  Het  VIR  geeft  aan  dat  de  resultaten  van  de 
afhankelijkheids-,  bedreigingen-  en  kwetsbaarheidsanalyse  dienen  te  worden 
opgenomen  in  aparte  bij  de  analyse  behorende  documenten.  Daamaast  dient  in  het 
IBP  tot  uitdrukking  te  komen  welke  relaties  er  zijn  ten  opzichte  van  maatregelen 
die  getroffen  zijn  voor  andere  verantwoordelijkheidsgebieden  (voor  zover  van 

belang). 

Hoewel  de  implementatie  van  het  IBP  ervoor  zorgt  dat  de  meeste  bedreigingen  niet 
tot  onacceptabele  schadelijke  effecten  leiden,  moet  er  toch  rekening  mee  worden 
gehouden  dat  er  zich  situaties  kunnen  voordoen  waartegen  het  informatiesysteem 
niet  bestand  is.  Daarom  dient  het  IBP  een  calamiteitenparagraaf  te  bevatten  waarin 
is  vastgelegd  op  welke  wijze  belangrijke  bestuurs-  en  bedrijfsprocessen  worden 
voortgezet  nadat  een  deel  van  het  systeem  uitvalt  of  onbruikbaar  wordt.  De  cala¬ 
miteitenparagraaf  heeft  het  karakter  van  een  draaiboek  zodat  in  noodsituaties 
iedereen  weet  hoe  te  handelen. 

Het  IBP  dient  te  worden  goedgekeurd  door  de  verantwoordelijke  lijnmanager. 
Hierbij  dient  te  worden  vastgesteld  dat  het  plan  past  binnen  de  uitgangspunten  en 
randvoorwaarden  van  het  informatiebeveiligingsbeleid. 
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Binnen  een  IBP  dient  er  een  actieplan  te  worden  opgesteld  (of  een  verwijzing  naar 
dit  actieplan  te  worden  gegeven),  waarin  wordt  aangegeven  op  welke  termijn,  met 
welke  middelen  en  met  welke  menskracht  de  in  het  IBP  opgenomen  maatregelen 
(nieuwe  dan  wel  stringentere  maatregelen,  die  niet  uit  ander  hoofde  reeds  van 
kracht  zijn)  zullen  worden  geimplementeerd. 

Het  IBP  dient  periodiek  te  worden  geevalueerd  om  na  te  gaan  of  het  hele  pakket 
van  maatregelen  nog  steeds  voldoet  aan  de  gewenste  betrouwbaarheid  en  of  het 
pakket  van  maatregelen  goed  wordt  uitgevoerd.  Een  dergelijke  evaluatie  dient 
volgens  een  vastgesteld  schema  te  worden  uitgevoerd.  Dit  schema  of  minimaal  een 
verwijzing  naar  het  document  waarin  dit  schema  is  beschreven  dient  te  worden 
opgenomen  in  het  IBP. 


7.2  Relatie  met  de  HIBP 


Voor  het  opstellen  van  een  IBP  kan  binnen  de  HIBP  verwezen  worden  naar  de 
subprocessen  11  en  12,  ‘Opstellen  en  vaststellen  informatiebeveiligingsplan’ 
respectievelijk  ‘Goedkeuren  informatiebeveiligingsplan’. 


Binnen  subproces  11  zijn  4  stappen  onderkend.  Deze  stappen  zijn: 

•  stap  11.1  registreren  resultaten  informatiebeveiligingsproces; 

•  stap  1 1.2  formuleren  audit  en  control  maatregelen; 

•  stap  11.3  opstellen  implementatieplan; 

•  stap  11.4  vaststellen  informatiebeveiligingsplan. 


In  stap  11.1  wordt  het  IBP  samengesteld  op  basis  van  de  resultaten  van  de  doorlo- 
pen  subprocessen.  In  de  voorgaande  hoofdstukken  is  aangetoond  dat  de  doorlopen 
subprocessen  grote  overeenkomsten  hebben  met  de  afhankelijkheids-,  bedreigin- 
gen-  en  kwetsbaarheidsanalyse.  Het  VIR  geeft  aan  dat  de  resultaten  van  deze 
analyses  niet  in  het  IBP  maar  in  aparte  bij  de  analyses  behorende  documenten 
dienen  te  worden  opgenomen.  Uit  de  doorlopen  subprocessen  zijn  alleen  de  maat¬ 
regelen  die  getroffen  dienen  te  worden  of  de  verwijzingen  waar  deze  maatregelen 
beschreven  staan  voldoende  voor  het  opstellen  van  een  IBP  conform  het  VIR. 


In  stap  1 1 .2  wordt  het  IBP  aangevuld  met  de  audit  en  control  maatregelen  die 
nodig  zijn  voor  de  evaluatie,  het  onderhoud  en  het  bewaken  van  de  goede  uitvoe- 
ring  van  het  IBP.  Binnen  het  VIR  wordt  aangegeven  dat  dergelijke  maatregelen 
opgenomen  dienen  te  worden  in  het  IBP  of  minimaal  de  verwijzing  naar  het  docu¬ 
ment  waar  deze  maatregelen  opgenomen  zijn. 


Binnen  stap  11.3  wordt  een  tijdsplan  opgesteld  voor  de  implementatie  van  de 
beveiligingsmaatregelen.  In  het  VIR  wordt  een  dergelijk  tijdsplan  aangeduid  met 
actieplan.  Ook  voor  dit  actieplan,  of  de  verwijzing  naar  een  document  waarin  dit 
actieplan  is  beschreven,  geldt  dat  dit  opgenomen  dient  te  zijn  in  het  IBP. 
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Binnen  stap  1 1.4  wordt  het  IBP  vastgesteld  door  de  verantwoordelijke  lijnmana- 
ger,  in  dit  geval  de  (onderdeels)commandant.  Bij  het  vaststellen  dient  onder  andere 
gecontroleerd  te  worden  of  het  plan  aansluit  bij  het  informatiebeveiligingsbeleid. 
Ook  in  subproces  12  wordt  het  IBP  vastgesteld.  Het  verschil  met  stap  1 1.4  van 
subproces  1 1  is  dat  het  IBP  nu  goedgekeurd  wordt  door  een  naast  hoger  niveau 
binnen  de  organisatie  dat  verantwoordelijk  is  voor  de  realisatie  van  het  informatie- 
beveiligingsbeleid.  Het  VIR  spreekt  alleen  over  goedkeuring  van  het  IBP  door  de 
verantwoordelijke  lijnmanager. 


7.3  Relatie  met  de  KL-methodiek  IVZ-management 

Voor  het  opstellen  van  een  IBP  wordt  door  KL-methodiek  IVZ-management 
verwezen  naar  de  HIBP  of  de  MP  10-10.  De  methodiek  heeft  verder  geen  aanvul- 
lende  activiteiten  en/of  werkzaamheden  aangegeven. 


7.4  Conclusies  en  aanbevelingen 


Tabel  7.1:  Overzicht  van  de  resultaten  van  de  vergelijking  tussen  het  Informatie  Beveili- 

gings  Plan  van  het  VIR  en  de  HIBP. 


activiteiten 

VIR 

subprocessen 

HIBP 

Aanvullende  handelingen 
op  de  subprocessen  HIBP 

opstellen  en 

subprocessen  1 1  -  Opstellen  en  vaststel- 

n.v.t. 

vaststellen 

len  informatiebeveiligingsplan  en  12  - 

IBP 

goedkeuren  informatiebeveiligingsplan 

Voor  het  opstellen  en  vaststellen  van  het  IBP  kunnen  de  subprocessen  1 1  en  12 
van  de  HIBP  gebruikt  worden.  Voor  het  opstellen  van  een  IBP  conform  het  VIR  is 
het  echter  niet  nodig  de  resultaten  van  alle  subprocessen  in  het  IBP  op  te  nemen. 
Voor  stap  1 1.1  van  subproces  1 1  geldt  dat  alleen  de  maatregelen  die  uit  de  subpro¬ 
cessen  voortvloeien  dienen  te  worden  opgenomen  (of  een  verwijzing  naar  waar 
deze  maatregelen  zijn  opgenomen).  In  subproces  9  van  de  HIBP  dienen  de  te 
treffen  maatregelen  geformuleerd  te  worden.  Ook  het  calamiteitenplan  dient  bin¬ 
nen  subproces  9  opgesteld  te  worden,  zie  hiervoor  ook  het  vorige  hoofdstuk. 

De  stappen  1 1.2  en  1 1.3  dienen  te  worden  uitgevoerd  voor  het  verkrijgen  van  een 
volledig  IBP. 

Volgens  het  VIR  is  stap  1 1.4  voldoende  om  een  IBP  vastgesteld  te  krijgen.  Bij  de 
verwerking  van  gerubriceerde  informatie  schrijft  het  informatiebeveiligingsbeleid 
van  het  Ministerie  van  Defensie  echter  voor  dat  een  (informatie)systeem  dient  te 
worden  goedgekeurd  door  de  Beveiligings  Autoriteit  en/of  de  beveiligingscoordi- 
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8.  Overige  aandachtspunten  voor  de  HIBP 

In  dit  hoofdstuk  wordt  tot  slot  gekeken  naar  de  toepasbaarheid  en  gebruikersvrien- 
delijkheid  van  de  processen  voor  het  bepalen  van  de  (feitelijke/vereiste)  beschik- 
baarheid,  integriteit  en  vertrouwelijkheid  bekeken  op. 


8.1  Evaluatie  van  het  proces  ‘bepalen  feitelijke/vereiste  beschik- 
baarheid’ 

De  HIBP  geeft  over  het  informatiebeveiligingsaspect  beschikbaarheid  de  volgende 
toelichting.  Stagnatie  van  een  bedrijfsproces  heeft  nadelige  gevolgen  voor  de 
slagkracht  en  de  interne  bedrijfsvoering  van  het  Ministerie  van  Defensie/de 
Krijgsmacht/de  organisatorische  eenheid.  Tevens  kan  een  stagnatie  economische 
schade  tot  gevolg  hebben  voor  de  betreffende  organisatie. 

Stagnatie  van  bedrijfsprocessen  kan  worden  veroorzaakt  door  het  ontbreken  van 
benodigde  gegevens  die  binnen  de  bedrijfsprocessen  dienen  te  worden  verwerkt. 
Wanneer  de  schade  die  hierdoor  wordt  opgelopen  ontoelaatbaar  groot  wordt  heeft 
de  stagnatie  zijn  maximaal  toelaatbare  duur  bereikt.  Deze  maximaal  toelaatbare 
stagnatieduur  bepaalt  welke  eisen  aan  een  informatiesysteem  gesteld  dienen  te 
worden.  De  maximaal  toelaatbare  stagnatieduur  is  de  periode  vanaf  het  ontstaan 
van  de  stagnatie  tot  aan  het  moment  dat  de  schade  die  wordt  opgelopen  ontoelaat¬ 
baar  wordt.  De  maximaal  toelaatbare  stagnatieduur  bepaald  de  vereiste  beschik¬ 
baarheid  van  een  bedrijfsproces  en  dus  ook  voor  de  informatiesystemen  die  dit 
bedrijfsproces  ondersteunen.  Een  eventuele  stagnatie  kan  het  gevolg  zijn  van. 

•  het  niet  beschikbaar  zijn  van  apparatuur; 

•  het  niet  beschikbaar  zijn  van  programmatuur; 

•  (over)belasting  van  het  systeem. 

De  beschikbaarheid  van  een  (informatie)systeem  kan  geclassificeerd  worden. 
Binnen  de  HIBP  is  deze  classificatie  als  volgt: 

•  absolute  beschikbaarheid; 

•  zeer  hoge  beschikbaarheid; 

•  hoge  beschikbaarheid; 

•  middelhoge  beschikbaarheid; 

•  lage  beschikbaarheid. 

Om  te  kunnen  bepalen  of  (aanvullende)  maatregelen  getroffen  dienen  te  worden 
dient  de  feitelijke  beschikbaarheid  van  de  systeemconfiguratie  bepaald  te  worden. 
Vergelijking  van  de  vereiste  beschikbaarheid  met  de  feitelijke  beschikbaarheid 
moet  uitwijzen  of  (aanvullende)  maatregelen  nodig  zijn. 
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8.1.1  Procesbeschrijving  ‘bepalen  vereiste  beschikbaarheid’ 

Het  bepalen  van  de  vereiste  beschikbaarheid  wordt  primair  door  de  eigenaar  van 
het  bedrijfsproces  bepaald.  De  vereiste  beschikbaarheid  dient  bepaald  te  worden 
door  [4]: 

•  de  tijd  die  nodig  is  voor  het  uitvoeren  van  het  meest  kritische  proces  binnen  een 
missie; 

•  de  maximaal  toegestane  stagnatieduur  van  het  meest  kritische  proces. 

De  vereiste  beschikbaarheid  wordt  berekend  door  de  tijd  die  nodig  is  voor  het 
uitvoeren  van  het  meest  kritische  proces  te  delen  door  de  som  van  de  tijd  die  nodig 
is  voor  het  uitvoeren  van  het  meest  kritische  proces  en  de  maximaal  toelaatbare 
stagnatieduur.  Door  het  nu  verkregen  getal  te  vermenigvuldigen  met  100%  wordt 
de  vereiste  beschikbaarheid  weergegeven  in  procenten. 

8.1.2  Procesbeschrijving  ‘bepalen  feitelijke  beschikbaarheid’ 

De  feitelijke  beschikbaarheid  kan  op  twee  manieren  worden  bepaald  [4]: 

•  uit  de  praktijk  opgedane  ervaring  met  betrekking  tot  een  bestaande  systeemcon- 
figuratie; 

•  door  het  uitvoeren  van  berekeningen  met  specificaties  van  de  gebruikte  auto- 
matiseringsmiddelen,  zoals: 

-  de  onderlinge  relaties  tussen  de  automatiseringsmiddelen; 

-  gegevens  over  de  automatiseringsmiddelen  zelf  (Mean  Time  Between  Failu¬ 
re  -  MTBF,  Mean  Time  To  Restore  -  MTTR); 

-  gegevens  over  het  vereiste  onderhoud  van  deze  automatiseringsmiddelen. 

Helpdeskfunctionarissen  en/of  systeembeheerders  weten  vaak  uit  ervaring  en  hun 
technische  kennis  wat  de  beschikbaarheid  van  bepaalde  informatiesystemen  is. 
Wanneer  deze  kennis  en  ervaring  aanwezig  is,  is  het  raadzaam  de  feitelijke  be¬ 
schikbaarheid  te  laten  bepalen  door  deze  functionarissen. 

Het  berekenen  van  de  feitelijke  beschikbaarheid  gaat  als  volgt  te  werk.  In  de  eerste 
plaats  dient  de  systeemconfiguratie  in  kaart  gebracht  te  worden.  Hierbij  is  het 
mogelijk  dat  systeemcomponenten  in  serie  of  parallel  geschakeld  zijn.  Met  sys- 
teemcomponenten  kunnen  zowel  hardware  als  software  componenten  bedoeld 
worden.  Ook  kunnen  hier  operators,  die  belangrijk  zijn  voor  het  goed  functioneren 
van  het  informatiesysteem,  mee  worden  bedoeld.  Per  systeemcomponent  dient  de 
feitelijke  beschikbaarheid  bepaald  te  worden.  Er  dient  begonnen  te  worden  met  het 
berekenen  van  de  feitelijke  beschikbaarheid  van  de  eventueel  parallel  geschakelde 
systeemdelen.  De  totale  feitelijke  beschikbaarheid  van  deze  parallelle  systeemde- 
len  kan  dan  weer  gezien  worden  als  de  feitelijke  beschikbaarheid  van  een  in  serie 
geschakeld  systeemdeel. 

Als  uitgangspunt  wordt  verondersteld  dat  parallel  schakelen  van  systeemcompo¬ 
nenten  alleen  mogelijk  is  met  identieke  systeemcomponenten.  Tevens  kunnen  er 
twee  mogelijke  vormen  van  parallel  schakelen  voorkomen.  De  eerste  is  de  zoge- 
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naamde  stand-by  schakeling.  Dit  wil  zeggen  als  een  van  de  systeemdelen  uitvalt 
wordt  het  andere  systeemdeel  actief.  De  tweede  mogelijkheid  van  parallel  schake- 
len  is  de  daadwerkelijke  parallel  schakeling.  Alle  parallel  geschakelde  systeemde¬ 
len  zijn  in  deze  situatie  actief. 

Naast  deze  mogelijkheden  van  schakelen  wordt  er  ook  onderscheid  gemaakt  tussen 
enkelvoudige  reparatie  en  meervoudige  reparatie.  Bij  enkelvoudige  reparatie  wordt 
een  eventueel  defect  systeemdeel  pas  gerepareerd  wanneer  alle  parallel  geschakel¬ 
de  systeemdelen  defect  zijn.  Bij  de  meervoudige  reparatie  wordt  een  defect  sys¬ 
teemdeel  zo  spoedig  mogelijk  gerepareerd. 

Voor  al  deze  situaties  is  in  de  HIBP  een  tabel  opgenomen,  waarin  formules  zijn 
opgenomen  voor  het  berekenen  van  de  feitelijke  beschikbaarheid.  De  tabel  bevat 
formules  voor  het  berekenen  van  de  feitelijke  beschikbaarheid  voor  parallel  scha- 
kelingen  met  maximaal  3  systeemdelen. 

De  formules  die  in  deze  tabel  zijn  opgenomen  zijn  gebaseerd  op  de  Mean  Time 
Between  Failure  (MTBF)  en  de  Mean  Time  To  Restore  (MTTR)  van  de  systeem¬ 
delen.  Er  wordt  echter  verondersteld  dat  deze  waarden  voor  alle  parallel  gescha¬ 
kelde  systemen  gelijk  zijn. 

De  feitelijke  beschikbaarheid  van  de  in  serie  geschakelde  systemen  wordt  uitein- 
delijk  berekend  door  de  feitelijke  beschikbaarheid  van  de  afzonderlijke  systeem¬ 
delen  met  elkaar  te  vermenigvuldigen. 

8.1.3  Conclusies 

De  delen  van  de  HIBP  waarin  het  bepalen  van  de  vereiste  en  de  feitelijke  beschik¬ 
baarheid  wordt  beschreven  zijn  verwarrend.  Daamaast  bevatten  deze  delen  veel 
informatie  die  voor  het  bereiken  van  de  uiteindelijke  doelen  niet  relevant  is. 

De  vragenlijsten  die  zijn  opgenomen  zijn  duidelijk,  maar  veel  van  de  informatie 
die  met  behulp  van  deze  lijsten  wordt  vergaard  wordt  niet  gebruikt  bij  het  bepalen 
van  de  vereiste  en  feitelijke  beschikbaarheid. 

Een  vaak  gehoorde  klacht  met  betrekking  tot  de  HIBP  zijn  de  formules  die  zijn 
opgenomen  binnen  de  procesbeschrijving  ‘bepalen  feitelijke  beschikbaarheid. 
Deze  formules  zouden  te  ingewikkeld  zijn  en  daardoor  voor  veel  functionarissen 

niet  te  hanteren  zijn. 

Tot  slot  kan  opgemerkt  worden  of  het  zinvol  is  de  beschikbaarheid  van  een 
(deel)systeem  te  berekenen.  Een  pragmatische  oplossing  kan  worden  gerealiseerd 
door  de  klassen  van  beschikbaarheid  (van  lage  beschikbaarheid  tot  absolute  be¬ 
schikbaarheid)  te  koppelen  aan  een  verzameling  van  maatregelen.  Door  te  onder- 
zoeken  welke  maatregelen  binnen  een  (deel)systeem  zijn  uitgevoerd  kan  dan  de 
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feitelijke  beschikbaarheid  bepaald  worden.  Als  maatregelen  kunnen  gebruikt 
worden: 

•  het  standby  schakelen  van  (deel)systemen; 

•  het  parallel  schakelen  van  (deel)systemen; 

•  het  dubbel  afsteunen  van  (deel)systemen. 

8.1.4  Aanbevelingen 

Aanbevolen  wordt  de  procesbeschrijving  ‘Bepalen  vereiste  beschikbaarheid’  te 
beperken  tot: 

•  een  inleiding  van  het  begrip  vereiste  beschikbaarheid  met  daarin  opgenomen  de 
tijdbalk  m.b.t.  de  missie  tijd.  Waarbij  moet  worden  opgemerkt  dat  de  formule 
voor  het  bepalen  van  de  vereiste  beschikbaarheid  verplaatst  dient  te  worden 
naar  het  einde  van  de  inleiding; 

•  het  opnemen  van  vragen  met  betrekking  tot: 

-  het  bepalen  van  het  kritische  proces; 

-  het  bepalen  van  de  doorlooptijd  van  het  kritische  proces; 

-  het  bepalen  van  de  gebruikstijden  van  het  kritische  proces,  waaronder  de 
operationele  gebruikstijd  en  de  niet-operationele  gebruikstijd; 

-  het  bepalen  van  de  maximaal  toelaatbare  stagnatieduur  van  het  kritische 
proces; 

De  maatregelen  die  in  deze  procesbeschrijving  zijn  beschreven  kunnen  worden 
opgenomen  in  een  apart  hoofdstuk  van  deze  bijlage  of  in  een  aparte  bijlage  van  de 
HIBP.  Dit  omdat  bij  het  bepalen  van  de  vereiste  beschikbaarheid  nog  geen  sprake 
is  van  het  nemen  van  maatregelen. 

De  vragen,  die  zijn  opgenomen  in  de  procesbeschrijving  ‘bepalen  vereiste  be¬ 
schikbaarheid’,  met  betrekking  tot  onderhoud  en  herstel  opnemen  bij  de  procesbe¬ 
schrijving  ‘bepalen  feitelijke  beschikbaarheid’.  Deze  vragen  hebben  namelijk  te 
maken  met  het  bepalen  van  de  MTTR  van  de  systeemdelen. 

De  tabel  waarin  de  formules  voor  het  bepalen  van  de  feitelijke  beschikbaarheid 
van  parallelle  systeemdelen  zijn  opgenomen  dient  te  worden  aangepast.  Voorge- 
steld  wordt  de  in  de  tabel  opgenomen  uitwerkingen  te  verwijderen  om  verwarrin- 
gen  te  voorkomen. 

Aanbevolen  wordt  de  formules  te  verwerken  in  een  stukje  programmatuur  die  de 
berekeningen  voor  het  bepalen  van  de  feitelijke  beschikbaarheid  kan  uitvoeren. 
Door  gebruik  te  maken  van  een  gebruikersvriendelijke  interface  wordt  het  bepalen 
van  de  feitelijke  beschikbaarheid  aanzienlijk  vereenvoudigd.  Ook  kunnen  de 
formules  verwerkt  worden  in  een  matrix,  waarbij  de  beschikbaarheid  is  berekend 
voor  verschillende  MTBF  en  MTTR.  Hierdoor  wordt  het  mogelijk  dat  een  gebrui- 
ker  de  beschikbaarheid  van  een  parallel  (deel)systeem  kan  aflezen  voor  gegeven 
MTBF  en  MTTR.  Zijn  de  gegeven  MTBF  en  MTTR  niet  in  de  tabel  opgenomen 
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dan  kan  de  gebruiker  met  behulp  van  interpoleren  of  extrapoleren  de  beschikbaar- 
heid  van  het  betreffende  (deel)systeem  benaderen. 

Het  reken voorbeeld  dat  is  opgenomen  binnen  deze  procesbeschrijving  is  goed 
bruikbaar.  Door  echter  de  uitwerking  nog  overzichtelijker  te  presenteren  wordt  het 
hanteren  van  de  HIBP  voor  betrokken  functionarissen  vergemakkelijkt.  Het  toe- 
voegen  van  meerdere  rekenvoorbeelden  versterkt  de  hanteerbaarheid  van  de  HIBP 
ook  aanzienlijk. 


8.2  Evaluatie  van  het  proces  ‘bepalen  feitelijke/vereiste  integriteit 

De  HIBP  geeft  over  het  informatiebeveiligingsaspect  integriteit  de  volgende  toe- 
lichting.  Integriteit  (betrouwbaarheid)  is  de  mate  waarin  de  geproduceerde  gege- 
vens  een  correcte  weergave  zijn  van  de  afgebeelde  werkelijkheid  en  niets  ten 
onrechte  is  toegevoegd,  achtergehouden  of  verdwenen.  Bij  het  bepalen  van  de 
afhankelijkheden  van  de  bedrijfsprocessen  is  niet  het  achterhalen  van  het  vereiste 
niveau  van  integriteit  het  streven,  maar  is  de  vereiste  mate  van  zekerheid  van  de 
integriteit  van  belang.  Bij  het  bepalen  van  de  integriteit  dient  daarom  rekening  . 
gehouden  te  worden  met  de  volgende  mogelijkheden  [4]; 

•  het  voorkomen  van  schendingen  van  de  integriteit; 

•  de  schade  die  ontstaat  bij  schendingen  van  de  integriteit  en  de  mogelijkheden 
deze  schade  te  beperken; 

•  de  constateerbaarheid  van  schendingen  van  de  integriteit; 

•  de  reconstructie  van  een  integere  situatie  wanneer  de  integriteit  is  geschonden. 

Voor  integriteit  geldt  dat  de  HIBP  onderscheid  maakt  in: 

•  de  integriteit  van  de  gegevens,  zoals  die  door  of  namens  de  eigenaar  zijn  geac- 
cordeerd  (ook  wel  beeldintegriteit  genoemd); 

•  het  handhaven  van  de  integriteit  binnen  het  gegevensverwerkende  systeem. 

De  integriteit  van  de  uiteindelijke  resultaten  van  een  gegevensverwerkend  systeem 
is  afhankelijk  van  de  volgende  factoren  [4]: 

•  de  integriteit  van  de  in  te  voeren  gegevens:  de  integriteit  van  de  in  te  voeren 
gegevens  is  afhankelijk  van  de  initiele  integriteit  van  de  aangeleverde  gepvens 
en  de  integriteit  van  het  proces  waarmee  de  gegevens  worden  ingevoerd  in  het 
gegevens  verwerkende  systeem; 

•  de  integriteit  van  de  binnen  het  systeem  aanwezige  programmatuur  en  gege¬ 
vens:  de  eenmaal  in  het  systeem  ingevoerde  gegevens  dienen  integer  te  zijn  en 

te  blijven;  ... 

•  de  integriteit  van  de  geautomatiseerde  gegevensverwerking  zelf:  de  integriteit 
van  de  in  het  systeem  aanwezige  gegevens  is  afhankelijk  van  de  integriteit  van 
de  programmatuur  en  de  systeemdelen  van  het  gegevensverwerkende  systeem 

dient ; 

•  de  integriteit  van  de  nabewerking. 


TNO-rapport 


34 


FEL-97-A066 


Integriteit  wordt  binnen  de  HIBP  opgesplitst  in  [4]; 

•  volledigheid:  volledigheid  is  de  zekerheid  dat  alle  invoer  en  mutaties  worden 
verwerkt  zonder  dat  er  in  de  gegevensverzamelingen  doublures  of  manco’s  ont- 
staan; 

•  juistheid:  juistheid  is  de  zekerheid,  dat  aangeboden  invoer  en  mutaties  correct 
volgens  de  specificatie  worden  verwerkt  tot  consistente  gegevensverzamelin¬ 
gen,  zelfs  als  bewust  wordt  getracht  het  informatiesysteem  anders  te  laten  func- 
tioneren.  Juistheid  kan  worden  opgesplitst  in  werkwijze  en  functiescheiding; 

•  actualiteit:  actualiteit  of  tijdigheid  is  de  maximale  tijdsduur,  die  mag  liggen 
tussen  het  ontstaan  en  het  gebruik  van  de  gegevens,  voordat  deze  gegevens  hun 
waarde  verliezen; 

•  geoorloofdheid:  geoorloofdheid  van  de  gegevensverwerking  is  de  zekerheid,  dat 
raadpleging  of  mutatie  van  de  gegevens  of  de  programmatuur  uitsluitend  mo- 
gelijk  is  voor  personen  die  daartoe  bevoegd  zijn. 

8.2.1  Procesbeschrijving  ‘bepalen  vereiste/feitelijke  integriteit’ 

In  tegenstelling  tot  het  beschikbaarheidsproces  zijn  bij  het  integriteitsproces  de 
beschrijvingen  van  ‘bepalen  vereiste  integriteit’  en  ‘bepalen  feitelijke  integriteit’ 
samengevoegd.  Waarom  dit  gedaan  is,  is  niet  duidelijk  in  de  HIBP  aangegeven. 
Verondersteld  wordt  dat  zowel  de  vereiste  integriteit  als  de  feitelijke  integriteit  op 
dezelfde  wijze  bepaald  kan  worden. 

Binnen  de  procesbeschrijving  wordt  uitgegaan  van  een  gegevensverwerkend 
proces.  Dit  gegevensverwerkende  proces  is  opgedeeld  in  een  aantal  stappen.  Per 
stap  is  een  aantal  eisen  en/of  maatregelen  aangegeven  met  betrekking  tot  de  inte¬ 
griteit  van  de  gegevens  binnen  dit  gegevensverwerkende  proces. 

Per  stap  van  het  gegevensverwerkende  proces  kan  nu  bepaald  worden  welke  eisen 
gelden  (en  welke  maatregelen  genomen  dienen  te  worden)  voor  het  bepalen  van  de 
vereiste  integriteit.  Daamaast  kan  per  stap  bepaald  worden  welke  maatregelen 
getroffen  zijn,  waardoor  de  feitelijke  integriteit  van  het  proces  bepaald  kan  wor¬ 
den. 

8.2.2  Conclusies 

De  titel  ‘procesbeschrijving  bepalen  vereiste/feitelijke  integriteit’  doet  voorkomen 
dat  zowel  de  vereiste  als  de  feitelijke  integriteit  met  dit  proces  kan  worden  be¬ 
paald.  Het  beschreven  proces  is  echter  voomamelijk  gebaseerd  op  het  bepalen  van 
de  vereiste  integriteit.  De  feitelijke  integriteit  is  moeilijker  te  bepalen  met  dit 
proces.  Hierbij  dient  eerst  geinventariseerd  te  worden  welke  eisen  en  maatregelen 
zijn  gesteld  of  getroffen.  In  de  beschrijving  wordt  vrijwel  alleen  gesproken  over 
‘eisen/maatregelen  die  kunnen  worden  gesteld/getroffen.  Voor  de  inventarisatie 
van  de  gestelde  eisen  en  getroffen  maatregelen  kan  wel  gebruikgemaakt  worden 
van  de  opsommingen  die  binnen  de  procesbeschrijving  zijn  opgenomen. 
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De  in  de  HIBP  opgenomen  procesbeschrijving  is  slechts  te  gebruiken  bij  database- 
achtige  gegevensverwerkende  processen.  Binnen  de  KL  is  een  groot  deel  van  de 
werkzaamheden  niet  onder  te  brengen  in  dergelijke  gegevensverwerkende  proces¬ 
sen.  Gegevens  die,  tijdens  deze  werkzaamheden,  ingevoerd  worden  kunnen  over 
het  algemeen  niet  worden  gecontroleerd  op  hun  integriteit.  De  integriteit  van  deze 
tret^evens  is  dan  ook  een  verantwoordelijkheid  van  de  persoon  die  de  gegevens 
invoert. 

Gegevens  die  eenmaal  zijn  opgenomen  in  een  systeem  kunnen  wel  worden  gecon¬ 
troleerd  op  ongewenste  wijzigingen  en  geoorloofdheid.  Er  kan  over  het  algemeen 
niet  worden  gecontroleerd  op  actualiteit,  volledigheid  en/of  juistheid.  Hier  is  de 
persoon  die  verantwoordelijk  is  voor  de  invoer  van  de  betreffende  gegevens  tevens 
verantwoordelijk  voor  de  juistheid,  volledigheid  en/of  actualiteit  van  deze  gege¬ 
vens. 

Het  begrip  geoorloofdheid  heeft  een  sterke  band  met  het  informatiebeveiligingsas- 
pect  vertrouwelijkheid.  Er  dient  onderzocht  te  worden  of  dit  begrip  bij  exclusiviteit 
of  bij  integriteit  thuishoort. 

8.2.3  Aanbevelingen 

Aanbevolen  wordt  de  processen  ‘bepalen  vereiste  integriteit’  en  bepalen  feitelijke 
integriteit’  afzonderlijk  te  beschrijven.  Hierdoor  kan  een  beter  inzicht  worden 
verkregen  in  de  verschillen  van  beide  processen. 

Er  dient  een  opsomming  te  worden  opgenomen  met  mformatiebeveiligings  be- 
wustwordingsmaatregelen  voor  functionarissen  die  werken  met  gegevensverwer¬ 
kende  processen  die  niet  passen  binnen  de  beschrijvingen  die  in  de  HIBP  zijn 
gegeven.  Omdat  het  bij  dergelijke  processen  niet  mogelijk  of  zinloos  is  om  de 
beschreven  integriteitsprocessen  uit  te  voeren  is  het  noodzakelijk  dat  de  informa- 
tiebeveiligings  bewustwording  van  functionarissen  die  met  dergelijke  processen 
werken  wordt  versterkt. 


8.3  Evaluatie  van  het  proces  ‘bepalen  feitelijke/vereiste  vertrouwe¬ 
lijkheid’ 

De  definitie  die  de  HIBP  geeft  voor  vertrouwelijkheid  luidt;  de  mate  waarin  de 
bevoegdheid  en  de  mogelijkheid  tot  (uit)lezen,  kopieren,  verspreiden  of  kennis 
nemen  van  informatie  (of  andere  systeemcomponenten)  is  beperkt  tot  een  gedefini- 
eerde  groep  gerechtigden. 

Deze  groepen  worden  binnen  de  HIBP  als  volgt  onderverdeeld  [4]. 

•  rubriceringen;  een  maat  voor  schade  die  ontstaat  indien  de  gegevens  in  verkeer- 
de  handen  komen; 
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•  merkingen:  aanduiding  van  de  soort  machtigingen  die  nodig  zijn  om  toegang  tot 
de  gegevens  te  kunnen  verkrijgen; 

•  speciale  beperkingen:  aanduiding  van  de  beperkingen  die  voor  de  verspreiding 
van  de  gegevens  gelden. 

Er  zijn  combinaties  van  rubriceringen  en  merkingen  mogelijk.  In  de  HIBP  is  een 
lijst  van  mogelijke  combinaties  opgenomen. 

8.3.1  Procesbeschrijving  ‘bepalen  vereiste/feitelijke  vertrouwelijkheid’ 

De  HIBP  geeft  aan  dat  de  eisen  die  aan  een  systeem  dienen  te  worden  gesteld 
m.b.t.  vertrouwelijkheid  op  te  delen  zijn  in  een  aantal  gebieden.  Een  van  deze 
gebieden  betreft  het  koppelen  van  computersystemen.  Het  proces  dat  in  de  HIBP 
beschreven  is  heeft  hier  betrekking  op  en  is  afgeleid  van  het  proces  dat  is  beschre- 
ven  in  [7].  Hierbij  wordt  gebruikgemaakt  van  de  beveiligingsklassen,  zoals  deze 
gedefmieerd  zijn  in  de  ‘Trusted  Computer  System  Evaluation  Criteria  (TCSEC)’ 

[8]  ook  wel  ‘Orange  book’  genoemd. 

Binnen  het  beschreven  proces  worden  4  stappen  onderkend: 

•  stap  1:  het  bepalen  van  de  ‘mate  van  blootstelling’; 

•  stap  2:  het  bepalen  van  het  ‘koppelingsrisico’; 

•  stap  3:  het  bepalen  van  het  ‘systeemrisico’; 

•  stap  4:  het  bepalen  van  de  beveiligingseisen. 

Binnen  stap  1  wordt  gebruik  gemaakt  van  de  begrippen  vertrouwelijkheidsniveau 
en  machtigingsniveau.  Het  vertrouwelijkheidsniveau  geeft  de  rubricering  en/of 
marking  aan  van  de  gegevens  die  in  een  systeem  zijn  opgeslagen.  Het  machti¬ 
gingsniveau  geeft  het  screeningsniveau  van  de  gebruikers  aan.  Beide  begrippen 
worden  in  de  HIBP  geclassificeerd  en  uitgedrukt  in  getallen.  De  ‘mate  van  bloot¬ 
stelling’  is  nu  gelijk  aan  het  verschil  tussen  het  ‘hoogste  vertrouwelijkheidsniveau’ 
en  het  ‘laagste  machtigingsniveau’. 

Het  bepalen  van  het  ‘koppelingsniveau’  heeft  betrekking  op  de  mogelijkheden  die 
met  behulp  van  de  gebruikersapparatuur  en  de  communicatiemiddelen  kunnen 
worden  ondersteund.  Voor  de  gebruikersapparatuur  wordt  onderscheid  gemaakt 
tussen: 

•  alleen  ontvangst; 

•  interactieve,  domme  terminal; 

•  programmeerbaar,  d.w.z.  toegang  via  een  PC  of  host. 

Voor  de  communicatieweg  wordt  het  volgende  onderscheid  gemaakt: 

•  eenrichtingsverkeer  store-and-forward; 

•  tweerichtingsverkeer  store-and-forward; 

•  interactieve  koppeling  zonder  store-and-forward. 
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De  mogelijke  combinaties  van  mogelijkheden  van  gebruikersapparatuur  en  de 
mogelijkheden  van  communicatieweg  worden  weergegeven  in  een  label.  De  com- 
binaties  vormen  het  ‘koppelingsrisico’  en  zijn  gewaardeerd  door  middel  van  ge- 
tallen. 

Door  het  ‘koppelingsrisico’  te  combineren  met  de  mogelijkheden  van  de  gebruiker 
is  het  mogelijk  het  ‘systeemrisico’  te  bepalen.  De  mogelijkheden  van  de  gebruiker 
zijn: 

•  alleen  uitvoer; 

•  beperkt  interactief; 

•  programmeermogelijkheden  ter  beschikking. 

Ook  hier  is  een  label  weergegeven  van  de  combinaties  van  het  ‘koppelrisico  met 
de  mogelijkheden  van  de  gebruiker  en  de  classificaties  van  deze  combinaties. 

Tot  slot  wordt  in  stap  4  bepaald  welke  beveiligingseisen  aan  het  systeem  worden 
toegekend.  Dit  gebeurt  door  de  ‘mate  van  blootstelling’  te  koppelen  aan  het 
‘systeemrisico’.  Hiemit  volgt  dan  de  beveiligingsklasse  conform  de  TCSEC  die 
noodzakelijk  is  voor  de  afdoende  beveiliging  van  het  systeem. 

8.3.2  Conclusies 

De  titel  ‘procesbeschrijving  bepalen  vereiste/feitelijke  vertrouwelijkheid  doet 
voorkomen  dat  zowel  de  vereiste  als  de  feitelijke  vertrouwelijkheid  met  dit  proces 
kan  worden  bepaald.  Het  beschreven  proces  is  echter  voomamelijk  gericht  op  het 
bepalen  van  de  vereiste  vertrouwelijkheid.  De  feitelijke  vertrouwelijkheid  is  moei- 
lijker  te  bepalen  met  dit  proces.  Ook  hier  zullen  de  (in  het  verleden)  gestelde  eisen 
en  de  getroffen  maatregelen  moeten  worden  ge'inventariseerd.  Daama  kan  het 
resultaat  van  de  inventarisatie  worden  vergeleken  met  de  klassen  zoals  ze  in  de 
procesbeschrijving  zijn  aangegeven. 

De  gebmikte  methode  is  gebaseerd  op  een  binnen  NATO  beproefde  methode 
betreffende  de  beveiliging  van  koppelingen  van  computemetwerken.  De  klassen 
(D,  C,  B  en  A)  die  in  deze  methode  worden  beschreven  zijn  afkomstig  uit  de 
Trusted  Computer  System  Evaluation  Criteria  (TCSEC)  en  vormen  een  soort  basis 
beveiligingsniveaus  (zogenaamde  baselines).  Deze  basis  beveiligingsniveaus  zijn 
in  het  verleden  opgesteld  vanuit  bepaalde  (politieke/strategische)  overwegingen. 
Een  van  deze  overwegingen  is  gebaseerd  op  gesloten  operationele  omgevingen. 
Gezien  gewijzigde  omstandigheden,  zoals  koppelingen  met  andere  netwerken  en/of 
systemen,  zijn  de  destijds  opgestelde  basis  beveiligingsniveaus  voor  de  meeste 
toepassingen  niet  meer  bruikbaar. 

8.3.3  Aanbevelingen 

Aanbevolen  wordt  de  processen  ‘bepalen  vereiste  vertrouwelijkheid  en  bepalen 
feitelijke  vertrouwelijkheid’  afzonderlijk  te  beschrijven.  Hierdoor  kan  een  beter 
inzicht  worden  verkregen  in  de  verschillen  van  beide  processen. 


TNO- rapport 


38 


Onderzoeken  of  de  TCSEC  basis  beveiligingsniveaus  nog  steeds  bruikbaar  zijn, 
waarbij  in  het  bijzonder  onderzocht  dient  te  worden  of  deze  beveiligingsniveaus 
binnen  het  VIR  passen. 
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9.  Conclusies  en  aanbevelingen 


Dit  hoofdstuk  bevat  de  conclusies  en  aanbevelingen  die  op  basis  het  onderzoek 
zijn  ontstaan. 


9.1  Conclusies 

Het  Voorschrift  Informatiebeveiliging  Rijksdienst  (VIR)  is  geschreven  op  een 
hoog  abstractieniveau.  De  ‘Handleiding  voor  het  uitvoeren  van  heet  InformatieBe- 
veiligingsProces’  (HIBP)  en  de  KL-methodiek  ‘Integrale  Veiligheids  Zorg  ma¬ 
nagement’  (IVZ-management)  zijn  praktisch  ingesteld.  De  HIBP  kan  gezien  wor- 
den  als  een  praktische  invulling  van  het  VIR. 

Het  VIR  geeft  aan  dat  op  beleidsniveau  de  informatiebeveiligingsaspecten  geclas- 
sificeerd  dienen  te  worden,  maar  geeft  zelf  geen  classificering  aan.  Binnen  de 
HIBP  en  de  KL-methodiek  IVZ-management  worden  de  informatiebeveiligingsas¬ 
pecten  wel  geclassificeerd. 

Voor  alle  methodieken  geldt  dat  de  verantwoordelijkheid  voor  het  uitvoeren  van  de 
activiteiten,  beschreven  in  deze  methodieken,  ligt  bij  het  (lijn)management.  Binnen 
de  KL  betekent  dit  dat  de  commandant  of  afdelingshoofd  van  het  betreffende 
onderdeel  of  afdeling  verantwoordelijk  is  voor  het  uitvoeren  van  deze  activiteiten. 

Het  VIR  en  de  ‘Handleiding  voor  het  uitvoeren  van  het  Informatiebeveiligingspro- 
ces’  (HIBP)  beperken  zich  beiden  tot  informatiebeveiliging.  De  KL-methodiek 
rVZ-management,  daarentegen,  is  een  methodiek  die  de  werkzaamheden  beschrijft 
om  te  komen  tot  een  adequate  beveiliging,  in  de  breedste  zin  van  het  woord,  van 
een  KL  object  of  lokatie. 

De  activiteiten  en  werkzaamheden  van  het  VIR  en  de  HIBP  resulteren  in  het  op- 
stellen  van  een  Informatie  Beveiligings  Plan  (IBP).  De  KL-methodiek  IVZ- 
management  heeft  tot  gevolg  dat  een  bundeling  van  plannen  wordt  opgesteld.  Een 
van  die  plannen  binnen  deze  bundeling  is  een  IBP . 

Uit  de  omschrijving,  die  door  de  KL-methodiek  IVZ-management  wordt  gegeven 
met  betrekking  tot  het  IBP,  kan  worden  opgemaakt  dat  de  invulling  van  een  IBP 
kan  (dient  te)  worden  uitgevoerd  conform  de  HIBP  of  de  MP  10-10  deel  6. 

Het  VIR  en  de  HIBP  gebruiken  verschillende  benamingen  voor  dezelfde  begrip- 
pen. 

Met  behulp  van  de  subprocessen  1  t/m  5  van  de  HIBP  kan  een  afhankelijkheids- 
analyse,  zoals  deze  beschreven  staat  in  het  VIR,  worden  uitgevoerd.  Hierbij  dient 
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opgemerkt  te  worden  dat  voor  het  bepalen  van  de  maximaal  toelaatbare  schade  en 
de  mogelijke  schade  subproces  4  van  de  HIBP  aangevuld  kan  worden  met  de 
waarde-incident  methode  en  de  INCI-DETAR  methode  van  de  KL-methodiek  FVZ- 
management  en  de  MP  10-10  deel  3. 

Het  identificeren  en  analyseren  van  bedreigingen  kan  worden  bereikt  door  subpro¬ 
ces  8  van  de  HIBP  uit  te  voeren.  De  naam  van  dit  subproces  ‘Uitvoeren  kwetsbaar- 
heidsanalyse’  geeft  verwarring  met  de  kwetsbaarheidsanalyse  volgens  het  VIR, 
waarin  andere  werkzaamheden  worden  beschreven. 

Met  de  subprocessen  6,  7,  9  en  10  van  de  HIBP  is  het  mogelijk  een  kwetsbaar¬ 
heidsanalyse  volgens  het  VIR  uit  te  voeren. 

Voor  het  opstellen  van  een  Informatie  Beveiligings  Plan  (IBP)  kan  worden  vol- 
staan  met  het  uitvoeren  van  de  subprocessen  1 1  en  12  van  de  HIBP.  Opgemerkt 
dient  te  worden  dat  de  HIBP  alle  resultaten  van  alle  voorgaande  subprocessen  in 
het  IBP  verwerkt  wil  zien  en  het  VIR  wil  slechts  een  opsomming  of  verwijzing 
naar  alle  te  nemen  of  genomen  maatregelen,  een  calamiteitenparagraaf,  audit  en 
control  maatregelen  en  een  actieplan. 

Door  een  herindeling  van  de  subprocessen  uit  te  voeren  zal  de  HIBP  beter  passen 
binnen  de  richtlijnen  van  het  VIR.  Bij  het  herindelen  van  de  subprocessen  van  de 
HIBP  zal  tevens  onderzocht  moeten  worden  of  een  uitvoeringsvolgorde  van  de 
heringedeelde  subprocessen  van  toepassing  is. 

De  processen  voor  het  bepalen  van  de  feitelijke/vereiste  beschikbaarheid,  integri- 
teit  en  vertrouwelijkheid  zijn  in  de  praktijk  te  verwarrend  gebleken  en  dienen 
vereenvoudigd  te  worden. 


9.2  Aanbevelingen 

De  volgende  aanbevelingen  zijn  uit  het  onderzoek  naar  voren  gekomen: 

•  om  in  de  toekomst  verwarringen  te  voorkomen  wordt  aanbevolen  de  begrippen 
in  de  HIBP  te  benoemen  conform  het  VIR; 

•  pas  de  indeling  van  de  huidige  subprocessen  van  de  HIBP  als  volgt  aan: 

-  wijzig  de  naam  van  subproces  8  van  de  HIBP  (Uitvoeren  kwetsbaarheids¬ 
analyse)  in  bijvoorbeeld  ‘Uitvoeren  dreigingenanalyse’; 

-  voeg  de  subprocessen  6,  7,  9  en  10  samen  tot  een  subproces  en  noem  dit 
nieuwe  subproces  ‘uitvoeren  kwetsbaarheidsanalyse; 

-  pas  subproces  1 1  aan  door  alleen  de  opsomming  van  maatregelen  of  een 
verwijzing  naar  de  documenten  waar  deze  maatregelen  staan  vermeld  op  te 
nemen  in  het  IBP; 

•  voor  vereenvoudiging  van  de  processen  voor  het  bepalen  van  de  feitelij¬ 
ke/vereiste  beschikbaarheid,  integriteit  en  vertrouwelijkheid  wordt  aanbevolen 


TNO- rapport 


FEL-97-A066 


41 


deze  processen  te  modificeren  door  middel  van  de  in  het  rapport  aangegeven 
wijzigingen. 
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10.  Afkortingenlijst 


BA 

BP-IVZ 

BVP 

BWP 

CO 

DOKL/CrV 

HIBP 

HIR 

IBP 

rvz 

KL 

LAS/BO/CrV 

MTBF 

MTTR 

NATCO 

NATO 

PLAN-EVO 

PLAN-rVO 

PO  BKL  98 

PRT 

RDPRO 

TCSEC 

TNO-FEL 

VHZ-BP 

VIP 

VIR 


Beveiligings  Autoriteit 
BasisPlan  Integrale  VeiligheidsZorg 
Basis  Veiligheidszorg  Plan 
BeWakings  Plan 
Centrale  Organisatie 

Directie  Operatien  Koninklijke  Landmacht/Commandovoering  en 
Informatie  Voorziening 

Handleiding  voor  het  uitvoeren  van  het  InfornnatieBeveiligings 
Proces 

Handboek  Informatiebeveiliging  Rijksdienst 
Informatie  Beveiligings  Plan 
Integrale  VeiligheidsZorg 
Koninklijke  Landmacht 

LAndmachtStaf/Beleids  Ontwikkeling/Commandovoering  en 
Informatie  Voorziening  (voorheen  DOKL/CIV) 

Mean  Time  Between  Failure 

Mean  Time  To  Restore 

NATionaal  COmmando 

North  Atlantic  Treaty  Organisation 

PLAN  Exteme  Veiligheidszorg  Organisatie 

PLAN  Interne  Veiligheidszorg  Organisatie 

ProjectOrganisatie  Bewakingssysteem  KL  98 

Plan  Ressort  gebonden  Taken 

Risico  PROfiel 

Trusted  Computer  System  Evaluation  Criteria 

Nederlandse  Organisatie  voor  toegepast-natuurwetenschappelijk 

onderzoek  -  Fysisch  en  Elektronisch  Laboratorium 

VeiligHeidsZorg  BasisPlan 

Veiligheidszorg  Informatie  Pakket 

Voorschrift  Informatiebeveiliging  Rijksdienst 
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11.  Begrippenlijst 


actualiteit 


afhankelijkheidsanalyse 


audit  en  control 


autoriseren 


bedrijfsprocessen 


beschikbaarheid 


(HIBP)  de  maximale  tijdsduur,  die  mag  liggen  tussen 
het  ontstaan  en  het  gebruik  van  de  gegevens  (de 
‘ouderdom’),  voordat  deze  gegevens  hun  waarde  ver- 
liezen 

(VIR)  het  vaststellen  in  hoeverre  bestuurs-  of  bedrijf¬ 
sprocessen  die  door  informatiesystemen  ondersteund 
worden,  afhankelijk  zijn  van  de  betrouwbaarheid  van 
deze  systemen  en  het  vaststellen  welke  potentiele 
schades  kunnen  optreden  als  gevolg  van  het  falen  van 
deze  informatiesystemen 

(HIBP)  de  organisatorische,  procedurele  en  instru- 
mentele  voorzieningen  die  benodigd  zijn  voor  de  be- 
heersing  (verantwoordelijkheden,  bevoegdheden, 
controle  en  bijsturing)  van  de  beveiliging  van  de  mid- 
denlaag 

(HIBP)  het  toekennen  van  bevoegdheden  aan  functio- 
narissen  voor  het  gebruik  van  programmatuur  en  ge¬ 
gevens.  Het  autoriseren  van  functionarissen  moet  ze- 
kerheid  geven  dat  het  raadplegen  en  wijzigen  van  ge- 
voelige  gegevens  en  de  verwerking  van  deze  gegevens 
uitsluitend  mogelijk  is  door  personen,  die  hiertoe  be- 
voegd  zijn.  Autorisatie  is  een  belangrijk  middel  bij 
het  waarborgen  van  de  geoorloofdheid  van  de  infor- 
matieverwerking 

(HIBP)  de  primaire  processen  waarvoor  de  organisa- 
tie-eenheid  die  wordt  beschouwd  verantwoordelijk  is. 
De  ondersteunende  processen  waar  de  organisatie- 
eenheid  verantwoordelijk  voor  is  of  gebruik  van 
maakt,  worden  via  de  relatie  meet  de  primaire  proces¬ 
sen  meegenomen 

(VIR)  de  mate  waarin  een  informatiesysteem  in 
bedrijf  is  op  het  moment  dat  de  organisatie  het  nodig 
heeft 

(HIBP)  is  de  mate  van  ongestoorde  voortgang  van  de 
informatievoorziening 
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betrouwbaarheid 


beveiliging 


beveiligingsmaatregel 


beveiligingsniveau 


calamiteitenparagraaf 


commandant 


exclusiviteit 


geoorloofdheid 


incident 


FEL-97-A066 


(VIR)  de  mate  waarin  de  organisatie  zich  kan  verlaten 
op  een  informatiesysteem  voor  zijn  informatievoor- 
ziening 


(HIBP)  het  treffen  van  maatregelen  met  als  doel  het 
bewerkstelligen  en  handhaven  van  veiligheid 

(HIBP)  maatregel  om  feitelijke  beveiligingsniveau  op 
het  gewenste  niveau  te  brengen  en  te  houden 

(HIBP)  de  mate  van  beschikbaarheid,  vertrouwelijk- 
heid  en  integriteit,  die  vanuit  het  bedrijfsproces  is 
vereist  of  die  vanuit  de  geautomatiseerde  informatie- 
voorziening  door  de  automatiseringsmiddelen  kan 
worden  geboden.  Het  vaststellen  van  beveiligingsni- 
veaus  vindt  plaats  op  basis  van  de  mogelijke  schade 
(sociaal,  technisch,  organisatorisch,  economisch,  po¬ 
litick  of  infrastnictureel)  die  objecten,  processen,  per- 
sonen  e.d.  ondervinden  indien  dreigingen  zich  voor- 
doen 

(VIR)  opsomming  van  alle  maatregelen  welke  tot 
uitvoering  moeten  komen  indien  zich  een  situatie 
voordoet  waarbij  de  beschikbaarheid,  integriteit  en/of 
exclusiviteit  van  een  informatiesysteem  in  beduidende 
mate  niet  aan  de  eisen  voldoen 

(HIBP)  voor  een  operationele  eenheid  verantwoorde- 
lijke  functionaris.  Hieronder  mede  te  verstaan  direc- 
teuren  en  hoofden  van  niet  operationele  eenheden 

(VIR)  de  mate  waarin  de  toegang  tot  en  de  kennisna- 
me  van  een  informatiesysteem  en  de  informatie  daarin 
is  beperkt  tot  een  gedefinieerde  groep  van  gerechtig- 
den 

de  geoorloofdheid  van  de  gegevens  verwerking  is  de 
zekerheid,  dat  raadpleging  of  mutatie  van  de  gegevens 
of  de  programmatuur  (hetzij  rechtstreeks,  hetzij  via 
het  informatiesysteem)  uitsluitend  mogelijk  is  voor 
personen  die  daartoe  bevoegd  zijn.  De  geoorloofdheid 
maakt  deel  uit  van  het  beveiligingsaspect  integriteit 

(HIBP)  het  optreden  van  een  ongewenste  gebeurtenis 
of  situatie 


informatiebeveiliging 


informatiebeveiligingsplan 


informatiesysteem 


integriteit 


juistheid 


(VIR)  het  treffen  en  onderhouden  van  een  samenhan- 
gend  pakket  van  maatregelen  ter  waarborging  van  de 
beschikbaarheid,  integriteit  en  exclusiviteit  van  een 
informatiesysteem  en  daarmee  van  de  informatie 
daarin 

(HIBP)  het  geheel  aan  maatregelen  met  als  doel  de 
beheersing  van  de  risico’s  tijdens  verwerking,  opslag 
en  overdracht  van  informatie  al  dan  niet  met  behulp 
van  geautomatiseerde  systemen,  teneinde  de  geeiste 
vertrouwelijkheid,  integriteit  en  beschikbaarheid  te 
kunnen  waarborgen 

(VIR)  opsomming  van  alle  beveiligingsmaatregelen 
en/of  de  vindplaatsen  daarvan  welke  voor  een  infor¬ 
matiesysteem  of  een  verantwoordelijkheidsgebied  van 
kracht  zijn 

(HIBP)  het  rapport  waarin  de  informatiebeveiliging  is 
vastgelegd 

(VIR)  een  geheel  van  gegevensverzamelingen,  perso- 
nen,  procedures,  programmatuur  en  opslag-,  verwer- 
kings-  en  communicatieapparatuur 

(HIBP) 

(VIR)  de  mate  waarin  een  informatiesysteem  zonder 
fouten  is 

(HIBP)  (betrouwbaarheid,  integrity)  is  de  mate  waarin 
de  geproduceerde  informatie  een  correcte  weergave  is 
van  de  afgebeelde  realiteit  en  niets  ten  onrechte  is 
toegevoegd,  achtergehouden  of  verdwenen.  Het  as¬ 
pect  integriteit  is  verbijzonderd  naar  de  deelaspecten 
volledigheid,  juistheid,  actualiteit  (tijdigheid)  en  ge- 
oorloofdheid 

(HIBP)  de  zekerheid,  dat  de  aangeboden  invoer  en 
mutaties  correct  volgens  specificaties  worden  ver- 
werkt  tot  consistente  gegevensverzamelingen,  zelfs 
als  bewust  wordt  getracht  het  informatiesysteem  an- 
ders  te  laten  functioneren.  In  geautomatiseerde  infor- 
matiesystemen  kan  een  grotere  mate  van  juistheid 
worden  bereikt  door  het  uitvoeren  van  consistentie-  en 
waarschijnlijkheidscontroles 


kwetsbaarheidsanalyse  (VIR)  het  vaststellen  van  de  invloed  van  het  manifest 

worden  van  bedreigingen  op  het  functioneren  van  een 
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lijnmanagement 


middenlaag 


risico 


volledigheid 


vertrouwelijkheid 


informatiesysteem  of  een  verantwoordelijkheidsge- 
bied 

(HIBP)  het  lijnmanagement  is  belast  met  de  beheer- 
sing  van  de  risico’ s.  Zowel  voor  de  inventarisatie  van 
die  risico’ s  als  voor  wat  betreft  de  implementatie  van 
mogelijke  maatregelen  kan  worden  teruggevallen  op 
het  instrumentarium.  Daarbij  stelt  het  lijnmanagement 
prioriteiten  met  betrekking  tot  de  te  beveiligen  perso- 
nen,  informatie  en  materieel.  Tevens  stelt  het  lijnma¬ 
nagement  vast  tot  welk  beveiligingsniveau  maatrege¬ 
len  worden  genomen.  Ze  gaat  daarbij  uit  van  een  ei¬ 
gen  oordeelnorm,  maar  is  gehouden  aan  de  minimaal 
te  nemen  maatregelen  zoals  deze  door  de  beveili- 
gingsautoriteit  zijn  vastgesteld 

(HIBP)  het  geheel  van  hardware,  software,  datacom- 
municatie,  infrastructuren,  gegevens,  mensen  en  pro¬ 
cedures  benodigd  om  als  laag  tussen  mainframes 
(bovenlaag)  en  stand-alone  PC’s  (onderlaag)  gegevens 
te  verwerken,  op  te  slaan  en  te  transporteren 

(HIBP)  de  kans  op  een  incident  vermenigvuldigd  met 
de  daaruit  voortvloeiende  schade 

(HIBP)  de  zekerheid  dat  alle  invoer  en  mutaties 
worden  verwerkt  zonder  dat  er  in  de  gegevensverza- 
melingen  doublures  of  manco’s  ontstaan 

(HIBP)  (exclusiviteit,  confidentiality)  is  de  mate 
waarin  de  bevoegdheid  en  de  mogelijkheid  tot 
(uit)lezen,  kopieren,  verspreiden  of  kennis  nemen  van 
informatie  (of  andere  systeemcomponenten)  is  be- 
perkt  tot  gedefmieerde  groep  gerechtigden 
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